Mustang GT: Fenders smarte Amps lassen sich einfach kapern

Der Blogger Chris Pritchard von Pen Test Partners hat herausgefunden, dass Fenders digitale Gitarrenverstärker der Mustang-GT-Serie ein für Musiker unangenehmes Problem haben: Die vom Amp genutzten Bluetooth-Verbindungen sind nicht gesichert. Das bedeutet, dass Gitarristen beim Spielen gestört werden können, was besonders bei Konzerten fatale Folgen haben kann.

Stellenmarkt

1. Data Foundation Engineer (m/w/d)
   Volkswagen Financial Services AG, Braunschweig
2. Verwaltungsfachangestellter (m/w/d) im Bereich Jugendwesen
   ekom21 - KGRZ Hessen, Gießen, Kassel, Fulda

Detailsuche

Die Mustang-GT-Modelle können per Bluetooth-Verbindung einfach als Lautsprecher benutzt werden - etwa für die Wiedergabe von Musik. Leider hat Fender die Verbindungsroutine offenbar komplett ohne Sicherheitshürden verbaut, also beispielsweise darauf verzichtet, am Verstärker eine Taste drücken zu müssen. Daher kann Pritchard zufolge jeder, der über ein Gerät mit Bluetooth verfügt, den Amp als Lautsprecher verwenden und eigene Audiodateien einspielen.

Unangenehm wäre das, wenn beispielsweise dem Musiker auf einem Konzert ein Musikstück auf seinen Verstärker gelegt wird. Der Gitarrenklang würde dann stummgeschaltet. Pritchard demonstriert das in einem Video mit Rick Astleys Never Gonna Give You Up - er wird klassisch gerickrolled. Für einen Verstärker, der vom Hersteller als bühnentauglich vermarktet wird, wäre das eine große Nachlässigkeit.

Ein tiefer gehender Eingriff ist die Änderung von Nutzer-Presets, die wegen fehlender Absicherung offenbar ebenfalls über fremde Bluetooth-Zugriffe ohne vorhergehendes Pairing möglich ist. So kann Pritchard eigenen Angaben zufolge ein komplett neues Setting per Bluetooth an den Verstärker schicken: In einem Video ersetzt er einen cleanen Sound durch ein Fuzz, was entsprechend komplett anders klingt. Ebenfalls möglich ist es, die Stimmfunktion zu aktivieren, was den Gitarrenklang stummschaltet.

Golem Karrierewelt

1. First Response auf Security Incidents: Ein-Tages-Workshop
   28.02.2023, Virtuell
2. IT-Sicherheit: (Anti-)Hacking für Administratoren und Systembetreuer: virtueller Drei-Tage-Workshop
   28.-30.06.2023, Virtuell

Weitere IT-Trainings

Pritchard empfiehlt, die Mustang-GT-Verstärker aktuell nicht für Auftritte zu verwenden, solange die Bluetooth-Funktion aktiviert ist. Gitarristen, die während eines Gigs eine Setlist mit Einstellungen auf einem Tablet oder Smartphone abrufen wollen - was praktisch ist -, würden ohne Bluetooth dieser Funktion beraubt.

Eine Möglichkeit ist, die ID des Verstärkers von "Mustang GT" auf einen nicht so einfach zu identifizierenden Namen zu ändern. Zu hoffen bleibt, dass Fender das Problem mit einem Software-Update behebt.