BLUFFS: Neue Bluetooth-Sicherheitslücke entdeckt, die die meisten Geräte betrifft

BLUFFS ist ein Akronym für eine neue Bluetooth-Sicherheitslücke, die der bekannte Sicherheitsexperte Daniele Antonioli kürzlich entdeckt hat. BLUFFS steht für Bluetooth Forward and Future Secrecy und besteht aus einer Reihe von sechs einzigartigen Sicherheitslücken. Diese Sicherheitslücken betreffen die meisten Bluetooth-Geräte, da die Implementierungen von Bluetooth 4.2 bis 5.4 betroffen sind.

Die gute Nachricht für die meisten Benutzer ist, dass für die Ausnutzung der Sicherheitslücke eine spezielle Einrichtung erforderlich ist. Ohne zu sehr ins Detail zu gehen, ist es für einen erfolgreichen Angriff erforderlich, dass sich zwei anfällige Bluetooth-Geräte in Reichweite des Angreifers befinden. Ein erfolgreicher Angriff kann zu "Man-in-the-Middle"-Angriffen und erfolgreichem Brute-Forcing des Verschlüsselungsschlüssels führen.

Ein Forschungsbericht, eine Präsentation und ein Toolkit sind auf der Website der Forscher verfügbar. Der Angriff wurde mit 18 verschiedenen Bluetooth-Chips und Geräten getestet. Zu den Geräten gehörten mehrere Apple iPhones, Google Pixel-Geräte, Laptops, Airpods und andere Geräte, die Bluetooth unterstützen.

Nicht alle Geräte scheinen für alle der sechs Sicherheitslücken anfällig zu sein, aber alle sind von mindestens drei der sechs Sicherheitslücken betroffen.

Das Problem wurde auf der offiziellen Bluetooth-Webseite bestätigt. Es ist unter CVE-2023-24023 aufgeführt. Der Artikel enthält Vorschläge zur Behebung des Problems. Den Herstellern wird empfohlen, die Mindestlänge des Verschlüsselungsschlüssels für verschlüsselte Sitzungen auf 7 Oktette festzulegen. Der Hauptgedanke dabei ist, dass dies dem Angreifer ein zu kleines Zeitfenster gibt, um den Schlüssel erfolgreich zu erzwingen. Dadurch werden Versuche für Angreifer weniger lohnend, auch wenn dies keinen vollständigen Schutz gegen Angriffe bietet, die die Sicherheitslücken ausnutzen.

Einige Hersteller, wie z. B. Microsoft, haben die Probleme bereits behoben. Microsoft hat dies im Rahmen des November-2023-Updates für das Windows-Betriebssystem getan.

Einige Benutzer können Bluetooth auf ihren Geräten deaktivieren, um sie vor potenziellen Angriffen zu schützen, doch ist dies in vielen Fällen nicht praktikabel. Bluetooth wird beispielsweise häufig verwendet, um drahtlose Kopfhörer oder Ohrstöpsel mit mobilen Geräten zu verbinden.