Wie gefährlich ist Bluetooth?


Damit die Corona-Warn-App des RKI funktioniert, muss hinauf dem Smartphone Bluetooth ewig aktiviert sein. Viele Nutzer möchten die Gebrauch von dort nicht installieren, weil sie fürchten, Hacker könnten die Funkverbindung für jedes jedes Angriffe vergewaltigen. Ist die Sorge dem Recht im Sinne?

Die Corona-Warn-App des Robert-Koch-Instituts (RKI) ist triumphal gestartet, inzwischen nachher sich ziehen die Gebrauch schon 12,2 Mio. Nutzer heruntergeladen (Stand: 23. sechster Monat des Jahres). Viele Menschen zögern wenigstens noch, die App zu installieren. Wie Grund wird oft genannt, die für jedes jedes die Kontaktaufnahme zu anderen Handys ewig aktivierte Bluetooth-Routine sei nicht sicher, Hacker könnten sie für jedes jedes Angriffe ausnutzen. Die Sorge ist nicht ganz unberechtigt, in welcher Vergangenheit wies welcher Funkstandard immer wieder Sicherheitslücken hinauf. Im Kontrast dazu ist die Gefahr wirklich so weit, dass man hinauf die Corona-Warn-App verzichten sollte?

Updates sichern Smartphones ab

Eine welcher kritischsten Bluetooth-Schwachstellen welcher vergangenen Jahre beschrieb Werden Februar die Sicherheitsfirma ERNW in ihrem Web-Tagebuch. “BlueFrag” erlaubt es Hackern theoretisch, persönliche Wissen von einem Androide-Smartphone abzugreifen oder sogar Schad-Software zu installieren. Sie benötigen zu diesem Zweck lediglich die spezifische MAC-Postadresse des Handys, die zur Identifizierung eines Geräts im Netzwerk dient. Betroffen waren vermutlich jedweder Androide-Versionen, die älter wie Version 10 sind. ERNW hatte Google wenigstens schon im November informiert, weshalb unverändert im Februar ein Patch zur Verfügung stand, welcher die Lücke schloss.

Jener Sachverhalt zeigt, dass Smartphones, deren Software hinauf dem aktuellsten Stand gehalten wird, zweite Geige wohnhaft zwischen ewig aktiviertem Bluetooth vor Angriffen weitgehend sicher sind. Problematisch ist derbei wenigstens, dass sich manche Smartphone-Hersteller zu viel Zeit lassen, im Vorhinein sie ein Sicherheitsupdate weitergeben. Außerdem erhalten Androide-Smartphones in welcher Regel nur drei Jahre weit Patches, hinauf älteren Geräten werden Lücken mithin oft nicht geschlossen.

Ein “BlueFrag”-Offensive ist wenigstens selbst dann unwahrscheinlich. Denn für jedes jedes Hacker ist damit ein relativ hoher Kapitalaufwand verbunden, welcher sich quasi nur rentiert, wenn sie ein spezifisches Ziel nachher sich ziehen. Ein Angreifer muss sich in welcher Nähe des Opfers Ergehen, dasjenige hinauf seinem Gerät zusätzlich zu Bluetooth WLAN aktiviert habe muss. Und selbst dann klappt dasjenige nicht wohnhaft zwischen allen Geräten, wenn sie wohnhaft zwischen welcher Suche nachdem Zugangspunkten zufällige MAC-Postadresse verwenden.

Großer Kapitalaufwand für jedes jedes Hacker

Unter ferner liefen iPhones sind verbleibend Bluetooth unabgeschlossen. Erst im Mai berichtete ein internationales Forscherteam verbleibend eine Schwachstelle, die sowohl iOS wie zweite Geige Androide-Geräte betrifft. Unterdies kann ein Offensive verbleibend zusammenschnüren Computer erfolgen, welcher vorgibt, ein Gerät zu sein, dasjenige schon mit dem Smartphone gekoppelt war. In Folge dessen nicht zutreffend welcher beim Erstkontakt übliche Pairing-Prozess, die Verkettung baut sich unaufgefordert hinauf.

Unter ferner liefen hier wurde dasjenige Problem schon Finale 2019 an Hersteller und die Bluetooth SIG (Special Interest Group) gemeldet. Seitdem zwölfter Monat des Jahres stillstehen von dort Patches zur Verfügung. Und für jedes jedes Angreifer ist es zweite Geige wohnhaft zwischen welcher “BIAS” getauften Lücke die Summe andere wie ein Kinderspiel, sie auszunutzen. Unter anderem muss welcher Nutzer beim Abgleich welcher Codes dem Angreifer mit einem Fehler helfen. Außerdem scheitert welcher Zugriff von vornherein, wenn ein Gerät Bluetooth LE (Low Energy) verwendet. Und diesen Standard nutzt die Corona-Warn-App.

Dasjenige Bundesamt für jedes jedes Sicherheit in welcher Informationstechnologie (BSI) warnte im Mai zweite Geige noch vor einer von welcher TU München entdeckten Sicherheitslücke, verbleibend die sogenannte Method Confusion Attacks möglich sind. Unterdies schaltet sich ein Angreifer in die Pairing-Kommunikation eines Smartphones mit einem anderen Gerät und greift den ausgehandelten Kopplungs-Identifizierungszeichen ab. Dasjenige funktioniert theoretisch zweite Geige mit Bluetooth LE. Doch findet beim Sicherheit welcher Corona-Warn-App gar kein Pairing statt. Sie sendet lediglich kleine Datenpakete aus, die von anderen Handys empfangen werden. Und natürlich gibt es zweite Geige für jedes jedes sie Schwachstelle inzwischen Sicherheitsupdates.

Ältere Androiden nicht immer sicher

Letztendlich kann man mithin sagen, dass Smartphones, wohnhaft zwischen denen die Software up to date gehalten wird, kein ewig aktiviertes Bluetooth zu fürchten nachher sich ziehen. Doch gilt dasjenige nicht unbedingt für jedes jedes ältere Geräte, die vielleicht schon länger keine Updates mehr erhalten. Dasjenige Problem betrifft vor allem Androide-Smartphones, wohnhaft zwischen denen man davon Lebensmittel umziehen muss, dass sie ungepatcht sind, wenn sie älter wie drei Jahre sind. Genug damit iPhones, hinauf denen die Corona-Warn-App läuft, sind hinauf dem neuesten Stand, wenn Nutzer die angebotenen Aktualisierungen zweite Geige wiedergeben.

Doch selbst wohnhaft zwischen betagten Androide-Handys ist dasjenige Risiko vermutlich winzig, da es sich für jedes jedes gewöhnliche Kriminelle nicht lohnt, normale Nutzer via Bluetooth anzugreifen. Jener Hacker muss sich in Bluetooth-Reichweite Ergehen und ziemlich hohen Kapitalaufwand betreiben, ohne zu wissen, ob er mit seiner Todesopfer viel lancieren kann. Nicht ohne Grund heißt es wohnhaft zwischen den meisten Warnungen vor Bluetooth-Schwachstellen, bisher sei nicht prestigeträchtig, dass sie schon ausgenutzt wurden.

Kein Grund, hinauf die App zu verzichten

Eine hundertprozentige Sicherheit gibt es nicht, ein Restrisiko bleibt. Im Kontrast dazu dasjenige gilt für jedes jedes jedweder Netzwerkverbindungen. Und wer trennt schon jeweils seinen Rechner vom Netzwerk, wenn er es ohne Rest durch zwei teilbar nicht gesucht? Vorsicht ist ratsam, wenigstens theoretisch mögliche Bluetooth-Angriffe sind kein Grund, hinauf die Corona-Warn-App zu verzichten, wohnhaft zwischen welcher selbst welcher Gewirr Computer Klub keine Sicherheitsprobleme gefunden hat. Daran wird sich zweite Geige kaum irgendetwas ändern, denn zweite Geige kommende Updates bleiben wie Open-Source-Projekt unter welcher Prüfung welcher Republik.