Sicherheitslücken: Per Bluetooth das WLAN ausknipsen

"Drahtlose Kommunikation ist komplett kaputt", fasst Jiska Classen von der Forschungsgruppe für sichere mobile Netze an der TU Darmstadt (Seemoo) die Situation zusammen. Beispielsweise lasse sich das Wi-Fi eines Smartphones über Bluetooth ausknipsen und blockieren. Dazu kombiniert die Forscherin zwei Sicherheitslücken in der Firmware eines Bluetooth-Chips von Broadcom. Die Lücken wurden mittlerweile geschlossen, doch längst nicht alle betroffenen Geräte haben ein Update erhalten. Mit einem neuen Analysetool könnten sogar noch viel mehr Sicherheitslücken gefunden werden.

Auf dem Hackerkongress 36C3 erklärte Classen, dass Wi-Fi und Bluetooth mehr gemeinsam hätten, als man vielleicht denke. Beide funken im 2,4 GHz Band und teilen sich häufig eine Antenne, die sie abwechselnd nutzen. Bluetooth- und Wi-Fi-Chip müssen sich absprechen, da sie nicht zeitgleich senden können. Der Chip-Hersteller Broadcom verbindet die beiden Chip-Komponenten über eine serielle Koexistenz-Schnittstelle. Über diese reichen sich die auf getrennten Kernen laufenden Protokolle die Antenne weiter: Wird beispielsweise ein Video über Wi-Fi gestreamt und der Ton auf einem Bluetooth-Kopfhörer ausgegeben, funktioniert dies nur störungsfrei, wenn Bluetooth und Wi-Fi koordiniert abwechselnd senden. "Das ist eine Supersache, solange sich die Chips gegenseitig vertrauen können, dass sie die Ressourcen auch wieder freigeben", sagte Classen Golem.de.

Wenn Bluetooth dem Wi-Fi die Antenne klaut

Gemeinsam mit Francesco Gringoli untersuchte Classen mehrere Broadcom-Chips, die in vielen iPhones und Android-Smartphones stecken. Es gelang ihnen, Code auf den Chips auszuführen und über einen Chip einen anderen zu kontrollieren. So konnte Classen per Bluetooth die Antenne beanspruchen und das Wi-Fi ausknipsen, und umgekehrt konnte Gringoli per Wi-Fi die Antenne blockieren.

Die beiden Sicherheitsforscher meldeten die Sicherheitslücke an die betroffenen Firmen, darunter Broadcom und Apple. "Seit iOS 13 sollte die Sicherheitslücke eigentlich behoben sein. In den Credits tauchen wir auch auf - aber wir können die Koexistenz-Lücke immer noch ausnutzen", erklärte Classen. Betroffen seien das iPhone SE, 7, 8, X und XR. Aktuellere Modelle müssten sie noch testen. Ein weiterer Fehler in den iPhones habe zudem dazu geführt, dass nicht nur der Chip über Koexistenz gecrasht werden könne, sondern das ganze Betriebssystem. Vor einem Jahr hatte Classen einen DoS-Angriff auf Bluetooth-Chips von Broadcom gezeigt.

Aus der Ferne oder per Checkm8 Code ausführen

Über Checkm8, ein im September veröffentlichter, nicht behebbarer Jailbreak für iPhones, kann auch ohne eine Remote-Code-Execution-Lücke (RCE) Code auf dem Broadcom-Chip ausgeführt und das Wi-Fi oder Bluetooth ausgeknipst werden - allerdings nur mit physischem Zugriff auf das Gerät.

Über eine weitere Sicherheitslücke (CVE-2019-11516) konnten die Sicherheitsforscher den Code auf dem Broadcom-Chip aus der Ferne ausführen. Auch diese RCE-Lücke entdeckte die Forschergruppe in der Firmware von Broadcom und meldete sie an die Hersteller. Die Sicherheitslücke wurde mit dem Android-Patchlevel 5. August behoben, die entsprechenden Updates müssen jedoch von den Herstellern verteilt werden, was oft nicht geschieht.

"Wenn man Code auf einem Chip ausführen kann, kann man ihn auch crashen oder die Pairing-Keys auslesen," erklärte Classen. "Verwenden Nutzer die Smart-Lock-Funktion, mit der Android-Smartphones automatisch entsperrt werden, sobald ein bestimmtes per Bluetooth gekoppeltes Gerät in Reichweite ist, können wir das Smartphone per Bluetooth entsperren - wir können ja den Pairing-Key auslesen".