Im Rahmen eines Forschungsprojekts beschäftigten sich die beiden SySS IT Security Consultants Gerhard Klostermeier und Matthias Deeg im Frühjahr dieses Jahres mit der Sicherheit moderner Bluetooth-Tastaturen. Neben den Bluetooth-Tastaturen selbst wurden auch mögliche Sicherheitsschwächen in den Bluetooth-Implementierungen verschiedener Betriebssysteme von verwendeten Clientsystemen berücksichtigt.
Hierbei untersuchten sie die folgenden drei aktuell beliebten Modelle verschiedener Hersteller aus unterschiedlichen Angreiferperspektiven auf Sicherheitsschwächen hin:
Die ausgewählten Tastaturen nutzten entweder Bluetooth Classic (1byone und Logitech K480) oder Bluetooth Low Energy (Microsoft Designer Bluetooth Desktop).
Während des Forschungsprojekts konnten Klostermeier und Deeg insgesamt sechs Sicherheitsschwachstellen hinsichtlich der drei getesteten Bluetooth-Tastaturen und der genutzten Bluetooth-Implementierungen verschiedener Betriebssysteme finden. Diese betreffen Angriffe gegen Bluetooth Pairing-Prozesse, einen unzureichenden Schutz von kryptografischem Schlüsselmaterial, das Ausnutzen von Vertrauensstellungen und Denial-of-Service-Angriffe. Keine der gefundene Schwachstellen stellt jedoch nach Ansicht der beiden Forscher ein hohes Sicherheitsrisiko dar.
Die Ergebnisse unseres Forschungsprojekts und unsere allgemeinen Empfehlungen für den sicheren Umgang mit Bluetooth-fähigen Geräten finden Sie zusammengefasst in unserer Veröffentlichung Case Study: Security of Modern Bluetooth Keyboards.
During a research project this spring, the two SySS IT Security Consultants Gerhard Klostermeier and Matthias Deeg analyzed three currently popular wireless keyboards using Bluetooth technology for security issues from different attacker perspectives. Besides the Bluetooth keyboards, also possible security issues in Bluetooth stack implementations of different operating systems of used client systems were considered.
The following three devices from different manufacturers were tested:
The selected keyboards either used Bluetooth Classic (1byone and Logitech K480) or Bluetooth Low Energy (Microsoft Designer Bluetooth Desktop).
In total, Klostermeier and Deeg could identify six security issues concerning the three tested Bluetooth keyboards and the used Bluetooth stack implementations of different operating systems within the test period. These security issues concern attacks against Bluetooth pairing processes, the insufficient protection of cryptographic key material, the exploitation of trust relationships, and denial-of-service attacks. However, none of the found security weaknesses is considered a high security risk according to the two researchers.
You can find the results of our research project and our general recommendations for dealing with Bluetooth-enabled devices in a secure way in our paper Case Study: Security of Modern Bluetooth Keyboards.
24.09.2024
- 26.09.2024
Hack9: Embedded Security
08.10.2024
- 09.10.2024
Hack1/Hack2: Hacking Workshop
10.10.2024
- 11.10.2024
Hack1/Hack2: Hacking Workshop
15.10.2024
Awe2: Phishing Awareness
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer
Direkter Kontakt
+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de
IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN
+49 (0)7071 - 40 78 56-99
Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer