Problem mit schnur­losen Geräten

Blue Borne…Bissiger Blauzahn

Heise, das BSI und sogar Com­pu­terbild melden mal wieder ein Problem mit schnur­losen Geräten: „Blue­Borne”. Nachdem im Jahr 2016 „nur” schnurlose Tas­ta­turen und Mäuse betroffen waren, ist es diesmal der „Indus­trie­standard gemäß IEEE 802.15.1 für die Daten­über­tragung zwi­schen Geräten über kurze Distanz per Funk­technik”, auch bekannt unter dem Namen „Blue­tooth”.

Die Artikel in den Medien ähneln sich natürlich mehr oder weniger, da alle die gleiche Infor­ma­ti­ons­quelle, die Ver­öf­fent­li­chungen der Firma Armis, ver­wenden. Die auf IoT-Sicherheit (Internet of Things) spe­zia­li­sierte Firma hat gleich acht ver­schiedene Schwach­stellen in Blue­tooth-Code von Windows-, Linux-, Android- und Apple-Geräten gefunden und damit eine poten­tielle Gefährdung von Mil­li­arden Geräten (O-Ton „..over 8.2 billion devices..”) dia­gnos­ti­ziert. In den Medien werden daraus je nach Quelle„… über 5 Mil­li­arden Geräte..” oder auch nur „… Mil­lionen, viel­leicht sogar Mil­li­arden, von Geräten…”.

Bei Armis und in einigen Medien wird die Bedrohung als kri­tisch ange­sehen. Wie groß ist die Gefahr nun wirklich?

Zuerst einmal muss der Angreifer oder das mit einem Blue­tooth-Wurm ver­seuchte Gerät einem poten­ti­ellen Opfer nahe­kommen. Je nach Gerät sind das im Nor­malfall näher als 10 Meter, in Son­der­fällen gibt es bei Blue­tooth aber auch Reich­weiten von bis zu 50 Metern. Dabei genügt es, wenn Blue­tooth auf dem Ziel­gerät akti­viert ist. Eine Aktion durch den Besitzer des Gerätes ist nicht not­wendig.

Das im Demo-Video der Firma Armis gezeigte Sze­nario eines Paket­boten, der mit einem infi­zierten Gerät einen Blue­tooth-Wurm ver­breitet, ist nicht unrea­lis­tisch. Aller­dings wurden bisher noch keine Ein­zel­heiten zu den Schwach­stellen ver­öf­fent­licht, die Infor­ma­tionen zur Ent­wicklung eines solchen Wurmes sind nur wenigen bekannt. Zusätzlich müsste für eine große Ver­breitung der Wurm die ver­schie­denen Geräte erkennen und mit dem für das Gerät pas­senden Angriff­scode zu über­nehmen. Bei der wach­senden Menge von ver­schie­denen auf dem Markt befind­lichen IoT-Geräten ist das eine große Her­aus­for­derung für den Ent­wickler einer solchen Schad­software.

Die Zahl von Mil­li­arden poten­ti­ellen betrof­fenen Geräten redu­ziert sich aller­dings, wenn man berück­sichtigt, dass für viele Geräte bereits Patches vor­handen (und ver­mutlich instal­liert) sind:

• Apple mit dem Betriebs­system IoS: Hier sind alle Geräte sicher vor Blue­Borne sofern die Version 10 oder größer ein­ge­setzt wird.
• Windows: Für alle aktuell noch unter­stützen Betriebs­system (Windows 7, 8 und 10) exis­tieren Patches
• Für Android-Geräte von Google (Nexus, Pixel) gibt es Updates
• Bei Servern (Linux oder Windows im Rechen­zentrum) ist in den aller­we­nigsten Fällen Blue­tooth über­haupt verbaut oder aktiv.

Nach den großen „Angriffs­wellen” in den letzten Monaten (Wan­naCry, Not­Petya) sollte auch der letzte Admi­nis­trator inzwi­schen wissen, wie wichtig es ist, aktuelle Updates auf IT-Geräten zu instal­lieren.

Bleiben als Opfer alte Geräte, für die es kein Update mehr gibt, die Android-Geräte von Her­stellern, die bisher keine Updates zur Ver­fügung gestellt haben, Linux-Note­books mit akti­viertem Blue­tooth und alle Smart Devices in der IoT-Cloud mit ver­wund­barer Blue­tooth-Software.

Eine schnelle, nicht reprä­sen­tative Prüfung mit der von der Firma Armis zur Ver­fügung gestellten App (Blue­Borne Scanner) zeigt eine große Menge von nicht ver­wund­baren Geräten (Smart Watches, Fitness-Tracker, Apple-Geräten und unbe­kannte Geräte). Ver­mutlich sind viele der „klei­neren” Geräte mit einem so ein­fachen Blue­tooth-Stack aus­ge­stattet, dass es gar keine Mög­lichkeit gibt, die Schwach­stelle aus­zu­nutzen oder einen Wurm zu instal­lieren. Die App zeigte aber auch mehrere ver­wundbare Geräte an, wie Android-Geräte von Samsung oder Motorola oder Smart-TV-Geräte von Samsung.

Übrigens sind auch die Ergeb­nisse dieser App nicht unbe­dingt aus­sa­ge­kräftig. Ein Mobile-Gerät von Google wurde vom Scanner der App durch ein anderes Mobil-Gerät vor und auch nach einem Firmware-Update als „ver­wundbar” klas­si­fi­ziert. Der Selbsttest mit der gleichen App auf dem Gerät zeigte dagegen nach dem Update den Status „nicht ver­wundbar”. Ein Ipod mit einer älteren und damit eigentlich ver­wund­baren IoS-Version wurde dagegen als „nicht ver­wundbar” erkannt.

Solange nähere Infor­ma­tionen über die gefun­denen Schwach­stellen nicht bekannt sind, geht eine Gefahr nur von wenigen Spe­zia­listen aus, die die Ein­zel­heiten des Pro­blems kennen. Aus der Erfahrung mit frü­heren Schwach­stellen dieser Art ist bekannt, dass es nicht allzu lange dauern wird, bis Infor­ma­tionen, Test- und Angriffs­werk­zeuge zu Blue­Borne im Internet kur­sieren. Spä­testens dann sollten die Her­steller ihre Haus­auf­gaben gemacht und Patches zur Ver­fügung gestellt haben. Und das ist auch eine Gele­genheit für den Anwender, in der eigenen IT auf­zu­räumen und ältere, nicht mehr unter­stützten Geräte zu ent­sorgen. Insofern unter­scheiden sich Mobiles oder IoT-Geräte nicht von Servern, Note­books oder Arbeits­platz­rechnern.

Was übrigens bei Schwach­stellen aller Art, also auch bei der aktu­ellen Blue­tooth-Schwach­stelle „Blue­Borne”, immer funk­tio­niert (sofern Blue­tooth nicht wirklich dringend nötig ist):

Einfach mal abschalten!