Original-URL des Artikels: https://www.golem.de/news/sicherheitsluecke-dos-angriff-auf-bluetooth-chips-von-broadcom-1901-138454.html    Veröffentlicht: 02.01.2019 13:55    Kurz-URL: https://glm.io/138454

Sicherheitslücke

DoS-Angriff auf Bluetooth-Chips von Broadcom

Bluetooth auf einem fremden Smartphone ausknipsen und einen Bluetooth-Lautsprecher zum Schweigen bringen? Mit einer Sicherheitslücke in Bluetooth-Chips von Broadcom ist das möglich.

Was haben Nexus 5, Raspberry Pi 3, iPhone 6 und MacBook Pro 2016 gemeinsam? In allen steckt ein verwundbarer Bluetooth-Chip von Broadcom. Entdeckt wurde die Sicherheitslücke (CVE-2018-19860) von Jiska Classen von der Forschungsgruppe für Mobilfunksicherheit an der TU Darmstadt und Dennis Mantz von der IT-Sicherheitsfirma ERNW. Sie konnten den Bluetooth-Chip zum Absturz bringen oder beim Nexus 5 den Bluetooth-Test-Modus aktivieren. Auf dem Kongress des Chaos Computer Club 35C3 haben sie die Hintergründe erklärt.

Mantz und Classen begannen ihre Analyse mit dem Smartphone Nexus 5. Nachdem sie die Firmware des Bluetooth-Chips ausgelesen hatten, suchten sie in deren Binärcode nach auffälligen Parametern, die sie dem 2.822 Seiten langen Bluetooth-5.0-Standard entnahmen. Classen erinnert die Aufgabe an ihre Kindheit: "Als Kleinkind saß ich auf der Wiese und habe nach vierblättrigen Kleeblättern gesucht. Und mich gefreut, wenn ich zwischen all den Kleeblättern eins gefunden habe."

Lücke in der Firmware

So fanden die beiden Forscher die passenden Codestellen zu den Befehlen in der Bluetooth-Dokumentation - unter anderem einen Protokoll-Handler, der die Eingaben, die über Bluetooth an ihn gesendet werden, nicht ausreichend überprüft. Ein Range Check fehlt. Durch modifizierte Bluetooth-Pakete konnten Mantz und Classen Funktionen ausführen, auf die weder der Handler noch sie beide Zugriff haben sollten. Insgesamt konnten sie 250 Funktionen ausführen, die größtenteils die Kommunikation zwischen Betriebssystem und dem Broadcom-Chip regeln - ein Bereich, auf den sie über Funk nicht zugreifen können sollten.

Mit den meisten der 250 Befehle konnten sie allerdings nicht viel anfangen, da den Funktionen die falschen Parameter übergeben werden. Es gelang ihnen jedoch, den Bluetooth-Test-Modus auf dem Nexus 5 zu aktivieren oder den Bluetooth-Chip von außen kontrolliert zum Absturz zu bringen. Letzteres funktionierte auch auf anderen Geräten.

Denial of Service

Der Bluetooth-Test-Modus ist für Gerätehersteller gedacht, sie können mit ihm testen, ob ihre Geräte auf bestimmten Frequenzen senden. Classen und Mantz konnten ihn von außen auf dem Nexus 5 aktivieren und unterschiedlich starke Signale auf unterschiedlichen Frequenzen senden. In diesem Modus konnten sie das Gerät Störsignale senden lassen. Beispielsweise könnten sich so einzelne Wi-Fi-Kanäle stören lassen - aus einer Entfernung über zehn Metern per Bluetooth.

Wurde ein Crash-Befehl an das Nexus 5, das iPhone 6 oder ein anderes betroffenes Gerät gesendet, stürzte der Bluetooth-Chip ab und startete sich nach einer kurzen Zeitspanne neu. Sendeten sie den Crash-Befehl alle paar Sekunden an das Endgerät, konnte Bluetooth nicht mehr verwendet werden: ein Denial of Service (DoS). Durch die Crash-Befehle ließen sich Bluetooth-Verbindungen unterbrechen, beispielsweise zu einem Bluetooth-Lautsprecher. In Anlehnung an die Fernbedienung TV-B-Gone, mit welcher Fernseher aus der Distanz ausgeschalten werden können, haben sie die Bluetooth-Lücke BT-B-Gone genannt.

Um ein Gerät angreifen zu können, muss auf diesem Bluetooth aktiviert sein, sichtbar muss es per Bluetooth nicht sein. Zudem wird die Mac-Adresse des Gerätes benötigt, welche sich meist über Funk auslesen lässt. Über eine Bluetooth-Anfrage lässt sich die Firmware-Version auslesen: Angreifer können so erfahren, welche Angriffe möglich sind, ohne sie ausprobieren zu müssen. Das klappt nicht nur auf dem Nexus 5.

Diverse Smarphones betroffen

Das Xperia Z3 verwendet den gleichen Bluetooth-Chip BCM4339 wie das Nexus 5, die Angriffe funktionieren hier entsprechend. Neben den beiden Smartphones sind weitere Geräte betroffen, deren Firmware die Sicherheitsforscher allerdings noch nicht genauso umfassend untersucht haben.

Die Sicherheitslücke scheint in der Firmware aller Broadcom-Chips die Bluetooth 4.0 unterstützen (ca. ab 2009) bis 2014. In neueren Chips sind die Funktionsaufrufe des Protokoll-Handlers limitiert worden, entsprechend ist der Angriff hier nicht mehr möglich. Das heißt jedoch nicht, dass neuere Produkte, die nach 2014 auf den Markt kamen, vor der Lücke gefeit sind. Beispielsweise sind neben dem Macbook Pro aus 2012 auch die Versionen von 2015 und 2016 betroffen, da sie noch ältere Chips enthalten. Neben den Macs sind auch Angriffe auf das iPhone 5, 5s und 6 möglich. Das Samsung Galaxy Note 3 sowie der Raspberry Pi 3 lassen sich ebenfalls kontrolliert zum Absturz bringen.

Warten auf Updates

Classen und Mantz informierten Broadcom bereits am 4. Oktober 2018 über die Sicherheitslücke. In einer ersten Reaktion blockte Broadcom ihnen zufolge ab: Die Sicherheitslücke existiere nicht. Am 3. Dezember bestätigte Broadcom die Lücke dann doch und kündigte an, sie zu patchen. Durch die vielen betroffenen Geräte, die zum Teil schon lange keinen Support mehr erhalten, gestaltet sich das flächendeckende Ausspielen eines Patches jedoch als kompliziert.



Classen und Mantz haben bereits einen Patch für das Nexus 5 geschrieben, wollen ihn allerdings aus Sicherheitsgründen nicht veröffentlichen. "Mit einem veröffentlichten Patch könnte die Lücke schnell gefunden werden und alle nicht gepatchten Geräte angegriffen werden", sagt Classen.

Die beiden forschen derweil weiter und versuchen durch Fuzzing, also das zufällige Senden von Parametern an den Protokoll-Handler, valide Parameter an die 250 Funktionen zu senden - die sie eigentlich nicht aufrufen können sollten. Vielleicht können sie dadurch weitere Funktionen mit validen Parametern ausführen oder im schlimmsten Fall Code ausführen. Möglich wäre noch vieles mit der Sicherheitslücke.  (mtr)


Verwandte Artikel:
BCM56990: Broadcoms Tomahawk-Chip liefert 25,6 TBit/s   
(19.12.2019, https://glm.io/145643 )
Kopfhörer: Apple verdoppelt monatliche Produktion der Airpods Pro   
(27.11.2019, https://glm.io/145244 )
Elektronische Patientenakte: Zu unsicher, um gehackt werden zu müssen   
(27.12.2019, https://glm.io/145757 )
Webserver: Denial-of-Service-Angriffe gegen HTTP/2   
(14.08.2019, https://glm.io/143203 )
Millionenfach verbreitet: Messenger-App Totok soll für die Emirate spionieren   
(23.12.2019, https://glm.io/145715 )

© 1997–2020 Golem.de, https://www.golem.de/