Milliarden von Menschen vertrauen regelmäßig auf Datenübertragungen via
Aufgedeckt wurden die neuen Angriffstechniken von einem Sicherheitsforscher namens Daniele Antonioli von der französischen Forschungseinrichtung Eurecom. Er hat insgesamt sechs verschiedene Techniken vorgestellt, die unter der Bezeichnung BLUFFS (Bluetooth Forward and Future Secrecy)
Danach lässt sich durch eine Brute-Force-Attacke Zugriff auf den Datenverkehr verschaffen. Bereits übermittelte und vom Angreifer abgefangene Datenpakete lassen sich wohl nachträglich entschlüsseln. Darüber hinaus kann der nachfolgende Datenverkehr in Echtzeit manipuliert werden. Damit das funktioniert, muss sich der böswillige Akteur lediglich in Bluetooth-Reichweite zu beiden Geräten befinden, die in den Datenaustausch involviert sind.
In einer
BLUFFS betrifft angeblich Bluetooth-BR/EDR-Geräte, die entsprechend der Bluetooth-Core-Spezifikation der Versionen 4.2 bis 5.4 Secure Simple Pairing und Secure Connections Pairing unterstützen. Folglich sind potenziell Milliarden von Bluetooth-fähigen Endgeräten anfällig. Auch die Bluetooth SIG (Special Interest Group) hat
Entwicklern empfiehlt die Organisation, Verbindungen mit Schlüsselstärken von weniger als sieben Oktetten immer abzulehnen. „Ein Brute-Forcing eines 7-Oktett-Schlüssels dürfte während einer Sitzung nicht in Echtzeit möglich sein“, argumentiert die Bluetooth SIG. Bei Implementierungen, die durchgängig Security Mode 4 Level 4 verwenden, sollte die Schlüsselstärke bei mindestens 16 Oktetten liegen. Wenn beide in die Kommunikation involvierten Geräte im Modus „Secure Connections Only“ arbeiten, sei eine ausreichende Schlüsselstärke in jedem Fall gewährleistet.
Quelle:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Neue Angriffstechniken zeigen nun, dass sich verschlüsselte Verbindungen oftmals nicht nur abhören, sondern auch manipulieren lassen. Gefährdet sind viele populäre Geräte wie
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
,
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
und
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.BLUFFS ermöglicht Angriffe auf Bluetooth-Verbindungen
Aufgedeckt wurden die neuen Angriffstechniken von einem Sicherheitsforscher namens Daniele Antonioli von der französischen Forschungseinrichtung Eurecom. Er hat insgesamt sechs verschiedene Techniken vorgestellt, die unter der Bezeichnung BLUFFS (Bluetooth Forward and Future Secrecy)
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
. Sie ermöglichen die Vortäuschung anderer Geräte-Identitäten sowie die Ausführung von Man-in-the-Middle-Angriffen (MitM) auf verschlüsselte Bluetooth-Verbindungen und beeinträchtigen damit deren Vertraulichkeit.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
basiert BLUFFS auf vier verschiedenen Schwachstellen, von denen zwei bisher unbekannt waren und auf fundamentalen Problemen in der Architektur des Bluetooth-Standards basieren. Die Angriffstechniken sind als
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
registriert und ermöglichen es einem Angreifer, die Erzeugung eines kurzen und damit besonders schwachen und vorhersehbaren Sitzungsschlüssels (SKC) zu erzwingen.Danach lässt sich durch eine Brute-Force-Attacke Zugriff auf den Datenverkehr verschaffen. Bereits übermittelte und vom Angreifer abgefangene Datenpakete lassen sich wohl nachträglich entschlüsseln. Darüber hinaus kann der nachfolgende Datenverkehr in Echtzeit manipuliert werden. Damit das funktioniert, muss sich der böswillige Akteur lediglich in Bluetooth-Reichweite zu beiden Geräten befinden, die in den Datenaustausch involviert sind.
Viele populäre Endgeräte sind anfällig
In einer
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
veranschaulicht Antonioli Ergebnisse einiger Tests, die er mit 18 verschiedenen Endgeräten durchgeführt hat, um deren Anfälligkeit für BLUFFS zu untersuchen. Jedes einzelne dieser Geräte war seinen Aufzeichnungen zufolge für mindestens drei der sechs aufgedeckten Angriffstechniken anfällig – darunter populäre Smartphones, Laptops, Bluetooth-Lautsprecher und -Kopfhörer von Herstellern wie Apple, Google, Microsoft, Dell, Xiaomi, Logitech oder Bose. Eine der sechs Angriffstechniken, ein MitM-Angriff, funktionierte sogar auf ausnahmslos allen Geräten. Ein Toolkit, mit dem sich Anfälligkeiten für BLUFFS testen lassen, steht für Interessierte
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
.Bluetooth SIG empfiehlt Ablehnung kurzer Schlüssel
BLUFFS betrifft angeblich Bluetooth-BR/EDR-Geräte, die entsprechend der Bluetooth-Core-Spezifikation der Versionen 4.2 bis 5.4 Secure Simple Pairing und Secure Connections Pairing unterstützen. Folglich sind potenziell Milliarden von Bluetooth-fähigen Endgeräten anfällig. Auch die Bluetooth SIG (Special Interest Group) hat
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
zu den neuen Angriffstechniken veröffentlicht, in der sie auf geeignete Abhilfemaßnahmen hinweist.Entwicklern empfiehlt die Organisation, Verbindungen mit Schlüsselstärken von weniger als sieben Oktetten immer abzulehnen. „Ein Brute-Forcing eines 7-Oktett-Schlüssels dürfte während einer Sitzung nicht in Echtzeit möglich sein“, argumentiert die Bluetooth SIG. Bei Implementierungen, die durchgängig Security Mode 4 Level 4 verwenden, sollte die Schlüsselstärke bei mindestens 16 Oktetten liegen. Wenn beide in die Kommunikation involvierten Geräte im Modus „Secure Connections Only“ arbeiten, sei eine ausreichende Schlüsselstärke in jedem Fall gewährleistet.
Quelle:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
