36C3: Vertraue keinem Bluetooth-Gerät – schon gar nicht im vernetzten Auto

Bei Chips zur drahtlosen Datenübertragung etwa via Bluetooth gibt es massive Sicherheitslücken. Bei geteilten Antennen lässt sich etwa WLAN ausknipsen.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 44 Beiträge

(Bild: pixabay.com)

Von

Jiska Classen von der Forschungsgruppe für Mobilfunksicherheit der TU Darmstadt hat am Samstag auf dem 36. Chaos Communication Congress (36C3) in Leipzig auf massive Sicherheitslücken beim drahtlosen Datenverkehr hingewiesen. Alle Protokollstacks für die mobile Kommunikation seien kaputt, überschrieb die Doktorandin ihren Vortrag. Bei der gar nicht auf den Nahbereich beschränkten Near Field Communication (NFC) seien Studenten nach dem von Max Maaß aufgedeckten "NFCGate" sogar von dritter Seite gebeten worden, Tests zum Nachweis weiterer darin enthaltener Schwachstellen zu stoppen.

Nachdem Classen und ihre Kollegen bereits voriges Jahr auf der Hackerkonferenz Denial-of-Service-Angriffe auf Bluetooth-Chips von Broadcom demonstriert hatten, mit denen sich etwa das iPhone 6 und das Nexus 5 blockieren ließen, verwies die Sicherheitsforscherin diesmal auf Möglichkeiten zum Ausführen von Code auf solchen Basiskomponenten für eine drahtlose Netzwerkverbindung. So sei es immer möglich, dass ein einschlägiger Broadcom-Chip beim Host Schlüssel fürs sogenannte Pairing abfragen könne. Vielfach befänden sich diese sogar schon direkt auf dem internen Speicher.

Wer diese Schlüssel für das Zusammenschalten von Bluetooth-Geräten habe, könne damit alle erdenklichen Sicherheitsmechanismen brechen wie die Smart-Lock-Funktion von Android. Mit dieser lassen sich Smartphones automatisch entsperren, wenn ein "vertrauenswürdiges Gerät" über die Nahfunktechnik in Reichweite ist. Man sollte sich daher zweimal überlegen, ob man Bluetooth etwa im Auto vertrauen wolle. Über diese Schwachstelle könne es möglich sein, auch auf andere Ebenen wie etwa die für Applikationen überzugreifen.

Exploits zum Ausnutzen von Sicherheitslücken auf Broadcom- oder Cypress-Chips erweisen sich Classen zufolge oft als äußerst hartnäckig. Schon in den zugehörigen Dokumentationen sei nachzulesen, dass ein gängiges Reset über die standardisierte HCI-Schnittstelle "nicht notwendigerweise" auch die Hardware zurücksetze. Es empfehle sich also in so einem Fall, sein betroffenes Mobiltelefon neu zu booten oder gegebenenfalls gleich in den Mixer zu werfen.

Um einschlägigen Angriffsflächen auf die Spur zu kommen, setzt die Forschungsgruppe meist auf Fuzzing. Dabei werden an das zu testende System über eine oder mehrere Eingabeschnittstellen ständig Zufallsdaten gesendet, um dessen Robustheit automatisiert auf den Zahn zu fühlen. Classens Kollege Jan Ruge hat für effektiveres Fuzzing ein "Frankenstein" getauftes Modul gebaut, um die Bluetooth-Firmware mit der gleichen Geschwindigkeit wie in normaler Hardware zu emulieren und so realistische Tests für komplette Protokollstapel durchführen zu können.

Jiska Classen von der Forschungsgruppe für Mobilfunksicherheit der TU Darmstadt – hier mit Aluhut

(Bild: CC by 4.0 36C3 media.ccc.de)

Frankenstein erstelle als normales Board einen umfangreichen Snapshot der zu testenden Technik inklusive Firmware, RAM und der Hardware-Register, erläuterte Classen anhand eines kurzen Demo-Videos. Dadurch seien etwa Probleme beim Schlüsselaustausch oder bei der Heap-Konfiguration für gewisse Arten von Datenpaketen erkennbar. Der Emulator könne auch an echte Host-Systeme wie Linux angeschlossen werden und dortige Schwachstellen einbeziehen. Sie arbeite aktuell daran, damit weitere Hardware wie ein Samsung S10 oder ein MacBook zu verknüpfen, womit sie aber zunächst einmal zwei Systeme per "Hard Brick" außer Gefecht gesetzt habe.

Ausfindig machen konnte die Sicherheitsforscherin zusammen mit einem Kollegen bereits, dass Schwachstellen in Chips etwa von Broadcom mit geteilten Antennen für die Synchronisation von Bluetooth und WLAN mit recht weitreichenden Folgen ausnutzbar sind. Um eine "Koexistenz" zwischen beiden drahtlosen Übertragungsprotokollen hinzubekommen und diese parallel mit unterschiedlichem Datenverkehr verwenden zu können, kommen ihr zufolge "super-proprietäre" Verfahren zum Einsatz. Wie sich herausgestellt habe, lasse sich über einen Bug aber Bluetooth via Wifi komplett ausschalten, was auch andersherum funktioniere.

Broadcom sei mittlerweile dabei, die Schwachstelle zu beheben, berichtete Classen. Mit iOS 13 sollte sie eigentlich auch auf betroffenen iPhones wie SE, 7, 8, X und XR geschlossen sein, da die Expertin und ihr Partner in den Credits für das einschlägige Sicherheitsupdate vom September auftauchten. Trotzdem sei es nach wie vor möglich, über diesen Ansatz Apple-Geräte zum Absturz zu bringen. Generell ließen sich die Hersteller viel Zeit, um gemeldete Lücken zu fixen.

Überdies gebe es noch tonnenweise andere Bluetooth-Stacks etwa in drahtlosen Kopfhörern, Fitness-Trackern oder sonstigen vernetzten Geräten, die auch nicht wasserdicht sein dürften. Nutzer sollten daher auf umfangreich abgesicherte WLAN-Installationen oder IT-Systeme setzen, die über keine Schnittstelle für die Netzwerk-Kommunikation verfügten. Sie selbst schreibe Texte gegebenenfalls auf einem uralten PowerBook, das in diese Kategorie falle. (tiw)