Schon vor 200 Jahren war Kommunikation ein entscheidender Faktor. Das wusste auch der dänische Wikingerkönig Harald I. „Blauzahn“ Gormsson, dem es so gelang, ganze Völker zu vereinen. Zu spätem Ruhm kam er dann in den 1990er-Jahren, als man das Funkverfahren „Bluetooth“ nach ihm benannte. Mit Bluetooth wurde das Mobiltelefon lästige Kabel los. Heute kommunizieren zahllose Geräte drahtlos miteinander: Tastaturen, Mäuse und Kopfhörer verbinden sich ganz bequem und wie von Geisterhand. Einst entwickelt für Privatanwender, hält das Funkprotokoll aber auch zunehmend Einzug in Unternehmen, etwa in der Gebäudesteuerung oder der Fabrikautomation. Die Vernetzung mit Bluetooth verspricht viel: Zuverlässig soll sie sein (Ausfall einer Komponente beeinträchtigt Gesamtnetz kaum), skalierbar (mehrere Tausend Geräte im Verbund) und sicher (hohes Schutzniveau gegen Angriffe von außen). Ist der moderne Blauzahn also wirklich bequem und sicher?
Bluetooth-Sicherheit: Grundlagen
Bluetooth ist eine drahtlose Funktechnologie und dient dem Austausch von Daten über kurze Entfernungen. Das Bluetooth-Sicherheitsmodell beinhaltet fünf Elemente:
Um miteinander kommunizieren zu können, müssen die Geräte ein „Geheimnis“ teilen. Dieses Geheimnis (ein kryptografischer Schlüssel) wird im Zuge des Kopplungsprozesses generiert. Jedes gekoppelte („bonded“) Bluetooth-Gerät speichert lokal einen oder mehrere gemeinsame Sicherheitsschlüssel ab, um so zukünftige vertrauensvolle Verbindungen aufbauen zu können. Außer dem kryptografischen Schlüsselmaterial speichert jedes gekoppelte Gerät noch die Bluetooth-Adresse (BD_ADDR) derjenigen Geräte, mit denen das Geheimnis geteilt wird.
Der Angriff
Während eines Forschungsprojekts stellte die SySS GmbH zwei interessante Punkte fest, die zusammengenommen Angriffe auf das Vertrauensverhältnis bei Bluetooth-Verbindungen ermöglichen:
Bei einem Test mit Bluetooth-Tastaturen stellte sich heraus, dass die meisten Bluetooth Stacks nicht bemerken, wenn sich die Eigenschaften gekoppelter Geräte ändern. Mit einer selbst entwickelten Software („Bluetooth Keyboard Emulator“) ließ sich z. B. der Name, die Hersteller-ID oder die Seriennummer eines Geräts beliebig anpassen. Nur die Bluetooth-Adresse und der Link Key mussten dabei identisch bleiben.
Noch interessanter: Manche Bluetooth Stacks reagierten nicht einmal auf eine Veränderung der Geräteklasse oder von Funktionen. Was nun aber, wenn ein einmalig gekoppeltes und als vertrauensvoll akzeptiertes Gerät zu einem ganz anderen wird?
Folgendes Szenario für einen Hacker-Angriff lässt sich aus dem oben Dargestellten skizzieren:
Der Test
Ein handelsüblicher Bluetooth-Kopfhörer – gekoppelt an verschiedene Clientsysteme mit unterschiedlichen Betriebssystemen (Android, iOS, Mac OS X) - diente als Testgerät für den geschilderten Aufbau. Der Angriff mit dem emulierten Bluetooth-Gerät war in drei von fünf Testfällen erfolgreich. Eine Verbindung mit der „nachgebildeten“ Bluetooth-Tastatur, die den extrahierten kryptografischen Schlüssel der Kopfhörer verwendete, wurde vom Client akzeptiert. Die Vertrauensstellung zum ursprünglichen Kopfhörer blieb – obwohl nun zur Tastatur gewandelt – ohne Probleme bestehen. Tasteneingaben des "Tastatur-Kofphörers" funktionierten tadellos und könnten von Angreifern entsprechend ausgenutzt werden.
Das Testergebnis zeigt deutlich: Auch Bluetooth-Geräte wie z. B. Kopfhörer, die auf den ersten Blick wenig schützenswert erscheinen, lassen sich für Angriffe auf „interessantere“ Bluetooth-Geräte – z. B. ein dienstliches Smartphone – einsetzen. Daher sollte die einmal etablierte Vertrauensstellung zwischen Bluetooth-Geräten regelmäßig auf den Prüfstand gestellt werden, damit der „harmlose“ Kopfhörer am Ende nicht doch zur "bösen" Tastatur wird.
16.09.2024
Secu4: IT-Recht und Datenschutz für IT-Verantwortliche
17.09.2024
- 18.09.2024
SySS auf der IKT in Wien
17.09.2024
- 18.09.2024
Hack6: Mobile Device Hacking
24.09.2024
- 26.09.2024
Hack9: Embedded Security
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer