Vor 16 neuen Bluetooth-Lücken warnen derzeit mehrere Sicherheitsforscher der Singapore University of Technology and Design: Betroffen seien dabei unter anderem Audio-Geräte, Microsofts Surface-Serie und viele Smart-Home- sowie IoT-Geräte. Sicherheitsupdates für die Braktooth getauften Lücken sind bereits verfügbar, jedoch sollen wohl nicht alle Hersteller die Bereitstellung entsprechender Patches planen.

Die Bluetooth-Standards 3.0 bis 5.2 sind laut eines ausführlichen Beitrags der Forscher von den Schwachstellen betroffen. Im Beitrag werden auch betroffene Bluetooth-SoCs - etwa von Intel und Qualcomm - aufgelistet. Angreifer könnten Bluetooth-SoCs nach DoS-Attacken permanent abstürzen lassen und unter Umständen sogar Schadcode ausführen. Die Bedrohungsgrade wurden bisher noch nicht eingestuft.

Voraussetzung für einen Angriff auf verwundbare Geräte ist, dass Bluetooth aktiv ist und der Angreifer sich in Funkreichweite befindet. Eigenen Angaben zufolge sei es den Forschern dann gelungen, einen ESP32-SoC anzugreifen, welcher in vielen IoT-Geräten eingesetzt wird. Aufgrund fehlender Überprüfung sei es nach Auslösung eines Speicherfehlers (out-of-bounds) möglich gewesen, eigenen Code auszuführen. Durch das Versenden von präparierten Paketen sei es auch möglich gewesen, die Bluetooth-Verbindung von Laptops lahmzulegen.

Espressif Systems und Infineon (Cypress) sollen bereits Sicherheitspatches geliefert haben. Während Intel bereits Updates angekündigt hat, gibt Texas Instruments an, Sicherheitsprobleme reproduziert zu haben aber nicht plane, Patches zu veröffentlichen. Unklar ist, wann die Patches für Endgeräte wie Microsofts Surface-Serie verfügbar sein werden - Besitzer sollten daher stets sicherstellen, dass ihre Geräte auf dem aktuellen Stand sind.

(jb, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE