Sicherheit moderner Bluetooth-Tastaturen

Eine Fallstudie der SySS IT Security Consultants Gerhard Klostermeier und Matthias Deeg

Im Rahmen eines Forschungsprojekts beschäftigten sich die beiden SySS IT Security Consultants Gerhard Klostermeier und Matthias Deeg im Frühjahr dieses Jahres mit der Sicherheit moderner Bluetooth-Tastaturen. Neben den Bluetooth-Tastaturen selbst wurden auch mögliche Sicherheitsschwächen in den Bluetooth-Implementierungen verschiedener Betriebssysteme von verwendeten Clientsystemen berücksichtigt.

Hierbei untersuchten sie die folgenden drei aktuell beliebten Modelle verschiedener Hersteller aus unterschiedlichen Angreiferperspektiven auf Sicherheitsschwächen hin:

  1. 1byone Keyboard
  2. Logitech K480
  3. Microsoft Designer Bluetooth Desktop

Die ausgewählten Tastaturen nutzten entweder Bluetooth Classic (1byone und Logitech K480) oder Bluetooth Low Energy (Microsoft Designer Bluetooth Desktop).

Während des Forschungsprojekts konnten Klostermeier und Deeg insgesamt sechs Sicherheitsschwachstellen hinsichtlich der drei getesteten Bluetooth-Tastaturen und der genutzten Bluetooth-Implementierungen verschiedener Betriebssysteme finden. Diese betreffen Angriffe gegen Bluetooth Pairing-Prozesse, einen unzureichenden Schutz von kryptografischem Schlüsselmaterial, das Ausnutzen von Vertrauensstellungen und Denial-of-Service-Angriffe. Keine der gefundene Schwachstellen stellt jedoch nach Ansicht der beiden Forscher ein hohes Sicherheitsrisiko dar.

Die Ergebnisse unseres Forschungsprojekts und unsere allgemeinen Empfehlungen für den sicheren Umgang mit Bluetooth-fähigen Geräten finden Sie zusammengefasst in unserer Veröffentlichung Case Study: Security of Modern Bluetooth Keyboards.

Englisch Version: Security of Modern Bluetooth Keyboards

During a research project this spring, the two SySS IT Security Consultants Gerhard Klostermeier and Matthias Deeg analyzed three currently popular wireless keyboards using Bluetooth technology for security issues from different attacker perspectives. Besides the Bluetooth keyboards, also possible security issues in Bluetooth stack implementations of different operating systems of used client systems were considered.

The following three devices from different manufacturers were tested:

  1. 1byone Keyboard
  2. Logitech K480
  3. Microsoft Designer Bluetooth Desktop

The selected keyboards either used Bluetooth Classic (1byone and Logitech K480) or Bluetooth Low Energy (Microsoft Designer Bluetooth Desktop).

In total, Klostermeier and Deeg could identify six security issues concerning the three tested Bluetooth keyboards and the used Bluetooth stack implementations of different operating systems within the test period. These security issues concern attacks against Bluetooth pairing processes, the insufficient protection of cryptographic key material, the exploitation of trust relationships, and denial-of-service attacks. However, none of the found security weaknesses is considered a high security risk according to the two researchers.

You can find the results of our research project and our general recommendations for dealing with Bluetooth-enabled devices in a secure way in our paper Case Study: Security of Modern Bluetooth Keyboards.

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de | IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Ihr direkter Kontakt zu SySS +49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN +49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer

Direkter Kontakt

+49 (0)7071 - 40 78 56-0 oder anfrage@syss.de

IN DRINGENDEN FÄLLEN AUSSERHALB DER GESCHÄFTSZEITEN

+49 (0)7071 - 40 78 56-99

Als Rahmenvertragskunde wählen Sie bitte die bereitgestellte Rufbereitschaftsnummer