vonaktionfsa 21.08.2019

Bewegungs-Blog

Informieren! Aktivieren! Bewegen! – Hier bloggen die Mitglieder der taz Bewegung über ihr Engagement.

Mehr über diesen Blog

Auf der Security-Konferenz Usenix in Santa Clara haben Forscher der Universitäten Singapur, Oxford und des Helmholtz-Zentrums für Informationssicherheit in Saarbrücken (CISPA) über einen Angriff auf die Verschlüsselung von Blueooth Verbindungen berichtet. Es geht dabei um die Key Negotiation Of Bluetooth (KNOB). Davon sind alle Bluetooth Version der letzten 20 Jahre betroffen.

Man ist bei der Konzeptionierung der Bluetooth-Sender unvorsichtig umgegangen. Die Lücke lässt sichbei allen Bluetooth-Basic-Rate- und -Enhanced Data-Rate-Verbindungen (BR/EDR) ausnutzen, Bluetooth Low Energy (BLE) ist wohl nicht betroffen. Wie Heise schreibt, definiert die Bluetooth-Spezifikation eine verhandelbare Entropie der für die Bluetooth-Verschlüsselung erforderlichen Sessionkeys. Dabei authentifizieren die Bluetooth-Geräte die für die Aushandlung des Entropiewerts übertragenen Nachrichten nicht, sodass ein Man-in-the-Middle beliebige Werte ungehindert in die Entropieaushandlung einschleusen kann.

Die Geräte lassen sich täuschen und reduzieren ihre Entropiewerte (wegen angeblich schlechter Übetragungsqualität) von maximal 16 Byte bis auf 1 Byte. Mit so geringem Entropiewert ausgehandelte Schlüssel lassen sich anschließend mit wenig Aufwand per Brute-Force knacken. Danach lassen sich die Verbindungen abhören oder der Angreifer kann beliebigen Code in die Verbindung einschleusen.

Bei 18 unterschiedlichen Geräten war nur eines gegen den Angriff resistent. Beruhigend ist lediglich, dass der Angreifer wegen der geringen Reichweite von Bluetooth Verbindung stets in der Nähe sein muss. Die Bluetooth Spezifikation soll nun verbessert werden. Besitzer vorhandener Geräte müssen jedoch weiter mit dem Fehler leben.

Mehr dazu bei https://www.heise.de/newsticker/meldung/KNOB-Attack-Schwerer-Konzeptfehler-in-Bluetooth-4499499.html

[Die Meinung der/s Autor*in entspricht nicht notwendigerweise der der Redaktion]

Anzeige

Wenn dir der Artikel gefallen hat, dann teile ihn über Facebook oder Twitter. Falls du was zu sagen hast, freuen wir uns über Kommentare

https://blogs.taz.de/bewegung/2019/08/21/sicherheitsluecke-bei-bluetooth-faellt-nach-20-jahren-auf/

aktuell auf taz.de

kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.