Sweyntooth: 10 neue Sicherheitslücken bei Bluetooth Chips

19 Feb 2020

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken. Tatsächlich ist das die größte Gefahrenquelle, aber längst...

Mehr >>

Beim Thema Sicherheitslücken werden die meisten Menschen zuerst an das Internet denken. Tatsächlich ist das die größte Gefahrenquelle, aber längst nicht die einzige, denn Malware oder Hacker können auch Fehler in anderen Geräteverbindungen ausnutzen. Jetzt haben drei taiwanesische Sicherheitsforscher unter dem Namen Sweyntooth 12 Bugs in der Implementierung der Bluetooth-Low-Energy-Technologie in den System-on-Chips verschiedener Hersteller bekannt gemacht. Die gute Nachricht: Die Entdecker haben vor der Veröffentlichung ihres Proof-of-Concept den Produzenten Zeit gegeben, Patches bereitzustellen. Vier der genannten Unternehmen haben dies bereits getan. Außerdem sehen die Forscher nur eine der Sicherheitslücken als kritisch an, während die übrigen die Geräte lediglich einfrieren oder abstürzen lassen.

Doch es gibt auch schlechte Nachrichten: Auf dem Markt der Bluetooth-fähigen Geräte gibt es unzählige Hersteller, die die betroffenen Chips verbauen. Daher ist es schwer festzustellen, welche und wie viele Geräte auf diese Art angreifbar sind. Betroffen sind wohl alle Gerätetypen von Wearables über Smart-Home-Anwendungen bis hin zu medizinischen Produkten. Auch ob die bereits verfügbaren Patches tatsächlich eingespielt wurden oder ob es vielleicht gar keine Möglichkeit dafür gibt, ist kaum einschätzbar. Die Sicherheitsforscher nennen in ihrer Veröffentlichung zwar sieben betroffene Chiphersteller, betonen aber gleichzeitig, dass ihre Liste keinen Anspruch auf Vollständigkeit hat. Andere, nicht genannte Hersteller sind also nicht unbedingt sicherer. Darüber hinaus müssen Nutzer erst einmal überprüfen, welcher Chip in ihrem Gerät verbaut wurde und dann darauf hoffen, dass der Hersteller des Gerätes das Update des Chip-Produzenten auch weitergibt. 

Doch wie schlimm sind die Sicherheitslücken wirklich? Als erstes wollen wir uns die kritische Sicherheitslücke genauer ansehen. Dabei handelt es sich um einen Fehler bei der Verbindung neuer Geräte über Bluetooth, die es Angreifern ermöglicht, den eigentlich vorgesehenen, sicheren Authentifizierungsprozess zu umgehen. So könnten sie sich sowohl Lese- als auch Schreibzugriff verschaffen.  Von diesem Problem ist glücklicherweise lediglich der Chip eines Herstellers betroffen. Außerdem muss der Angreifer in nächster Nähe des Geräts sein, um sich verbinden zu können. Damit sind Angriffe aus der Ferne bereits ausgeschlossen. Bei den meisten anderen gefunden Bugs handelt es sich um Buffer Overflows. Dabei werden Datenpakete  an den Bluetooth-Chip geschickt, die den geringen Speicherplatz übersteigen, dadurch in den Handyspeicher überlaufen lassen und so für Fehlfunktionen sorgen, wie ein eingefrorenes Gerät oder einen Reboot verursachen. Das ist in den meisten Fällen ärgerlich, jedoch nicht weiter gefährlich. Anders sieht es bei medizinischem Gerät aus, hier kann ein Absturz ernstere Folgen haben.

Grundsätzlich sollten Patches in jegliche Art von Gerät eingespielt werden, sobald diese verfügbar sind, denn nur so lassen sich derartige Bugs beseitigen. Doch das ist nicht immer ganz einfach oder in manchen Fällen auch unmöglich. Auch die Hersteller der eigentlichen Endgeräte trödeln manchmal bei der Weitergabe der Sicherheitsupdates an ihre Kunden oder verzichten sogar ganz darauf. Die Ausnutzung der Sweyntooth-Bugs lässt sich aber auch in solchen Fällen ganz einfach vermeiden, indem die Sichtbarkeit des eigenen Bluetooth-Signals auf unsichtbar gestellt oder bei Nichtgebrauch ausschaltet wird. Dann finden potenzielle Angreifer ihre Opfer schlicht und ergreifend nicht mehr.

Bild (c) Esa Riutta / Pixabay

Weniger >>

5 Security-Tipps für Ihr Smart Home

17 Feb 2020

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral...

Mehr >>

Rund neun Millionen Haushalte in Deutschland sind nach Schätzungen des Statista Digital Market Outlooks bereits „smart“, das heißt vernetzt, zentral steuer- und programmierbar. Bis zum Jahr 2023 soll die Zahl der Smart Homes auf 13,5 Millionen steigen. Die beliebtesten Geräte sind nach wie vor smarte Lautsprecher (Amazon Echo, Google Home etc.), aber auch Steuerknöpfe (Wandtaster, Drehknöpfe etc.) und Steckdoseneinsätze, mit denen man nicht-smarte Geräte zeitgesteuert automatisch ein- und ausschalten kann, werden gerne gekauft.

Doch mit dem Grad der Vernetzung des sogenannten Internet der Dinge (englisch Internet of Things oder IoT) steigen auch die Möglichkeiten für Cyberkriminelle, sich in Netzwerke einzuschleusen, um sensible Daten zu stehlen oder zu manipulieren, Nutzer auszuspionieren oder deren Geräte in ferngesteuerte Virenschleudern zu verwandeln.

Damit Ihr smartes Zuhause nicht nur bequem, sondern auch möglichst sicher ist, sollten Sie unbedingt die folgenden Security-Tipps beachten.

1. Regelmäßige Updates
Wenn es um Cybersicherheit geht, ist die Aktualisierung von Software mittels Hersteller-Updates immer Regel Nummer eins. Updates bringen oft nicht nur neue Features und Verbesserungen, sondern schließen gefährliche Sicherheitslücken, durch die kriminelle Hacker in Ihr Netzwerk eindringen könnten. Achten Sie schon vor dem Kauf eines Smart-Home-Geräts darauf, dass der Hersteller Firmware-Updates über einen längeren Zeitraum zur Verfügung stellt. In der Regel werden Aktualisierungen automatisch heruntergeladen und installiert.

2. Sichern Sie Ihren Router
Der Router ist so etwas wie das Gehirn Ihres Smart Home. Er regelt den Datenaustausch zwischen den Geräten im WLAN und schützt Ihr lokales Netzwerk gleichzeitig vor Angriffen aus dem Internet. Prüfen Sie, ob Ihr Router über eine Firewall verfügt. Ist das der Fall, sollten Sie diese unbedingt aktivieren. Darüber hinaus sollten Sie das voreingestellte Passwort des Routers ändern und darauf achten, dass stets die aktuelle Firmware installiert ist. Ihr WLAN sollte unbedingt verschlüsselt sein. Ansonsten könnten sich Kriminelle spielend leicht Zugang auf Ihre Geräte verschaffen.

3. Standardpasswörter ändern
Voreingestellte Standardpasswörter für neue Geräte sind ein beliebtes Einfallstor für Cyberkriminelle. Noch leichter haben sie es nur, wenn es gar keinen Passwortschutz gibt. Deshalb sollten alle Geräte, die Sie zum ersten Mal ans Internet anschließen, mit einem langen, individuellen Passwort geschützt werden.

4. Verschlüsselte Kommunikation
Es kann vorkommen, dass Smart-Home-Geräte sensible Daten über das Internet verschicken. Etwa Informationen zu Ihren Bankkonten oder über Ihre Gesundheit. Deshalb ist es wichtig, dass Sie auf eine verschlüsselte Übertragung sensibler Daten achten, die ansonsten leicht von Kriminellen abgefangen und missbraucht werden können. Die Verschlüsselung sollte über HTTPS bzw. TLS erfolgen. Versichern Sie sich vor dem Kauf eines neuen Gerätes, dass es verschlüsselt kommunizieren kann.

5. Lokale Nutzung oder VPN
Viele Smart-Home-Geräte lassen sich bequem aus der Ferne steuern. Verbinden Sie Ihre Geräte aber nur dann mit dem Internet, wenn dies absolut notwendig ist. Ansonsten reicht es aus, sie über das lokale WLAN zu steuern. Denn was nicht mit dem Internet verbunden ist, kann von kriminellen Hackern auch nicht so leicht angegriffen werden. Wollen Sie dennoch in der Lage sein, von unterwegs Ihre Rollläden zu bedienen oder die Temperatur im Haus zu regeln, richten Sie ein Virtuelles Privates Netzwerk (VPN) ein. Ein VPN ist eine besonders gesicherte Verbindung, eine Art Tunnel, durch den Daten über das Internet in Ihr Heimnetzwerk gelangen. VPNs lassen sich mit modernen Routern problemlos einrichten. Verfügt Ihr Router nicht über diese Funktion, können Sie alternativ Ihren Computer mithilfe spezieller VPN-Software in einen VPN-Gateway verwandeln.

Ein vernetztes Zuhause ist bequem und verströmt einen Hauch von Science-Fiction. Allerdings steckt die Technologie rund um das Internet der Dinge noch weitestgehend in den Kinderschuhen. Sicherheitsaspekte haben für die Hersteller – und für viele Nutzer – bisher eine eher untergeordnete Rolle gespielt. Wer sein Heim zum Smart Home machen will, sollte sich der Gefahren bewusst sein und sich so gut wie möglich vor Eindringlingen aus dem Internet schützen.

Bild (c) Sikov / Adobe Stock

Weniger >>

Weitere Beiträge anzeigen