© milkos / 123rf.com

Der blaue Zahn kann schmerzen: Forscher fanden mehr als ein Dutzend teils gravierender Sicherheitsprobleme in vielen Bluetooth-Stacks.

Der weitverbreitete Industriestandard Bluetooth dient zur Datenübertragung zwischen Geräten via Funk über kurze Distanzen. Dabei kommt ein spezielles Protokoll zum Einsatz, das auf Bluetooth-Geräten in einem internen Stack implementiert ist. In den letzten Jahren kam es immer wieder zu Sicherheitslücken im Bluetooth-Protokoll oder dessen Implementierungen. Nun fanden Sicherheitsforscher der Singapore University of Technology and Design insgesamt 16 neue Bluetooth-Lücken in verschiedenen kommerziellen Bluetooth-Stacks [1]. Die Schwachstellen betreffen unter anderem Audiogeräte, Microsofts Surface-Serie und zahlreiche Smart-Home- sowie IoT-Lösungen. Die durch die Schwachstelle möglichen Angriffsszenarien haben die Forscher unter dem Namen BrakTooth zusammengefasst. Einen Proof-of-Concept-Exploit hierzu wollen sie Ende Oktober veröffentlichen; einige Hersteller haben bereits Patches bereitgestellt.

Allen BrakTooth-Attacken ist gemein, dass sich das Opfer mit dem Bluetooth-Gerät in Funkreichweite des Angreifers befinden muss. Weiter benötigt der Angreifer ein ESP32-Entwicklerkit mit modifizierter Firmware. ESP32 ist eine 32-Bit-Mikrocontrollerfamilie der chinesischen Firma Espressif mit integriertem Wi-Fi und Bluetooth. Der Angreifer verbindet das Entwicklerkit mit einem Rechner, um den Exploit auszuführen. Dazu kommuniziert der Exploit mit dem ESP32-Board über den seriellen Port (»/dev/ttyUSB1«) und startet die Attacke für eine bestimmte Bluetooth-Geräteadresse als Ziel des Angriffs.

Auf diese Weise kann ein (nicht allzu weit) entfernter Angreifer dann einen verwundbaren ESP32-SoC attackieren. Derartige Chips kommen etwa in zahlreichen IoT-Geräten zum Einsatz. Unter anderem konnten die Forscher damit einen Pufferüberlauf in der ESP-BT-Library ausnutzen, um beliebige Befehle auf bestimmten Bluetooth-Geräten auszuführen. Weitere Sicherheitslücken ermöglichen auch Denial-of-Service-Attacken, beispielsweise das Herbeiführen von Abstürzen und Deadlocks. Lauf offiziellem Advisory sind insgesamt mehr als 1400 Bluetooth-basierte Produkte von BrakTooth betroffen. Die Forscher weisen allerdings darauf hin, dass ähnlich fehlerhafte Bluetooth-Stacks vermutlich noch auf vielen weiteren Geräten laufen und damit deutlich mehr Geräte angreifbar sein dürften.

Die genaue Art der Attacke hängt immer vom Bluetooth-Gerät ab. So betrifft der Pufferüberlauf, der das Ausführen von Programmcode ermöglicht, verschiedene Wi-Fi- und IoT-Bluetooth-Geräte wie Industrie-IoT-Lösungen, Smart-Home-Komponenten oder Fitnessanwendungen. Durch den Pufferüberlauf lassen sich acht beliebige Bytes in den Bluetooth-Stack einschleusen, was genügt, um einen Sprung zu einer anderen Adresse im Programmcode einzubauen. Die Auswirkungen dieses Problems können besonders bei Smart-Home-Lösungen gravierend sein.

Denial-of-Service-Attacken betreffen Laptops und Smartphones mit Intel-AX200-SoCs. Derartige Attacken können durch zwei verschiedene Probleme im Programmcode des Bluetooth-Stacks auftreten: durch ein Timing-Problem oder durch ein unberechtigtes Deaktivieren der Page-Scan-Routine. In beiden Fällen lässt sich das Bluetooth-Gerät nach der Attacke nicht mehr verwenden. Die Deadlocks betreffen vor allem Bluetooth-basierte Audiogeräte. Das Problem tritt hier beispielsweise auf, wenn zu große LMP-Pakete (Link Manager Protocol) verarbeitet werden müssen. Nach einer erfolgreichen Attacke reagieren die Audiogeräte nicht mehr.

Die Sicherheitslücken betreffen die Bluetooth-Standards 3.0 bis 5.2. Die Forscher fanden weiter heraus, dass die Bluetooth-SoCs von Intel sowie Qualcomm & Co. anfällig für die Probleme sind. Espressif Systems und Infineon (Cypress) haben bereits entsprechende Patches ausgeliefert. (jcb/jlu)