29.09.2017 | Bochum, Autor: Tim Berghoff

Blueborne - Grund zur Sorge oder "Räuberpistole"?

Vor einigen Tagen machten Berichte über eine Sammlung von Sicherheitslücken im Bluetooth-Protokoll die Runde. Diese Sicherheitslücken ermöglichen es einem Angreifer, unbemerkt die vollständige Kontrolle über ein verwundbares Gerät zu erlangen. Welche Auswirkungen haben die Erkenntnisse auf die Benutzer und wie praxisrelevant sind die Beispiele?

Etwas Perspektive

Das Szenario, welches von Sicherheitsforschern der Firma Armis in einem Demonstrationsvideo vorgeführt wird, ist in der Tat beunruhigend, aber aus unserer Sicht kein Grund zur Panik. Dass das Bluetooth-Protokoll angreifbar ist, überrascht eigentlich niemanden wirklich. Es hat in der Vergangenheit bereits spektakuläre Enthüllungen dieser Art gegeben. Die technischen Möglichkeiten sind allerdings nicht der primäre Grund zur Sorge. Zum einen sind Angriffe per Bluetooth nicht wirklich praktikabel. Angreifer und Ziel müssen sich in gewisser Nähe zueinander aufhalten, damit der Angriff gelingen kann, was das Risiko einer Entdeckung erhöht. Das macht diese Art von Angriffen riskant und unwirtschaftlich und somit für eine flächendeckende Anwendung uninteressant. Zum anderen gibt es bereits ein Update, welches die zugrundeliegenden Sicherheitslücken behebt. Hier liegt allerdings die Crux: Nicht alle Geräte haben dieses Update installiert und nur vergleichsweise wenige Geräte erhalten es überhaupt. Geräte, die dem Hersteller direkt „untergeordnet“ sind, erhalten die Updates schneller – leider ist dies nur bei Apple-Geräten sowie den von Google subventionierten Modellen („Nexus“ und „Pixel“) der Fall. Geräte anderer Hersteller sowie ältere Geräte erhalten entweder keine Sicherheitsupdates oder erhalten diese nur mit großer Verzögerung.

Updateproblematik

Dass sicherheitsrelevante Updates mit teils monatelanger Verzögerung installiert werden, bereitet Sicherheitsexperten seit längerem Kopfzerbrechen. Die Verzögerungen waren in der Vergangenheit meist der Tatsache geschuldet, dass ein Update für „Vanilla“ Android-Versionen (also das „reine“ Android wie es von Google ausgeliefert wird) von den Herstellern angepasst werden musste. Begründung: Die meisten Hersteller haben Zusatzsoftware auf ihren Geräten installiert, die das Original-Android teils verändern. Dass hier Handlungsbedarf besteht, ist auch den zuständigen Regulierungsbehörden bewusst. So hat 2016 die US-Telekommunikationsbehörde FCC (die in ihrer Funktion etwa der Bundesnetzagentur entspricht) eine öffentliche Anfrage an einige große Hersteller und Kommunikationsanbieter gerichtet, wie diese die Verteilung und Kommunikation sicherheitskritischer Updates künftig handhaben wird – und wo die Hindernisse dafür liegen. Gerade die Android-Welt ist sehr stark fragmentiert, was die flächendeckende Absicherung aller Geräte stark verkompliziert.

Finderlohn

Das vorliegende Beispiel ist auch wiederum ein Lehrstück im Hinblick auf den verantwortungsvollen Umgang mit Sicherheitslücken.
Diese wurden betroffenen Herstellern gemeldet. Das Forscherteam hat den Verantwortlichen zunächst Zeit gelassen, die Sicherheitslücken mit einem Softwareupdate zu beheben. Erst nachdem die Lücken behoben waren, wurden sie öffentlich gemacht. Damit ging das Forscherteam einen anderen Weg als diejenigen, die die Sicherheitslücke auf den entsprechenden Untergrundmärkten an den meistbietenden verkaufen. Solche Sicherheitslücken werden dann sowohl von Kriminellen, als auch von Geheimdiensten gekauft und für künftige Angriffsszenarien verwendet.
Auch im Fall der infizierten CCleaner-Version wurden zunächst die involvierten Hersteller Piriform und Avast über die Probleme benachrichtigt, damit zunächst ein Update bereitgestellt werden konnte, bevor man an die Öffentlichkeit ging. Viele Hersteller bieten Forschern, die auf diese Art auf Sicherheitslücken aufmerksam machen, Belohnungen an - so genannte "Bug Bounties". Je nach Schwere und Komplexität dieser Lücken können diese bis zu mehreren Hunderttausend Euro betragen, was einen zusätzlichen Anreiz schafft.  

Sicherheit im Fokus

Dass Sicherheit eine immer größere Rolle für Verbraucher und Behörden spielt, zeigen auch aktuelle Beispiele aus Deutschland. Mediamarkt sieht sich beispielsweise einer Klage von Verbraucherschützern gegenüber, da der Elektronikriese veraltete Android-Geräte mit nicht mehr behebbaren und teils gravierenden Sicherheitslücken zu einem sehr günstigen Preis in Umlauf gebracht hat. Man erhofft sich vom Ausgang des Prozesses auch hier eine Signalwirkung auf die Hersteller.

Was können Benutzer tun?

  • Wer Bluetooth generell nicht nutzt, sollte es ausschalten, sofern es aktiv ist. Das verlängert auch die Akkulaufzeit.
    Übrigens: ab Apple iOS 11 kann man Bluetooth nur über die Systemeinstellungen deaktivieren. Die Option im Kontrollzentrum trennt lediglich aktive Verbindungen, deaktiviert Bluetooth aber nicht.   
  • Installieren Sie die Updates, sofern sie für Ihr Gerät verfügbar sind
  • Falls kein Update verfügbar ist, sollte Bluetooth nur dann eingeschaltet werden, wenn man es auch aktiv nutzt (z.B. für die Freisprecheinrichtung im Auto).

Share this article

G DATA | Trust in German Sicherheit