Thema: Forscher knacken Bluetooth-PINs gekoppelter Geräte

[SiLæncer]

Zwar wurde in der Vergangenheit in den Bluetooth-Implementierungen einiger Hersteller Sicherheitslücken entdeckt, mit denen der unautorisierte Zugriff auf das Handy möglich war. Dennoch galt Bluetooth selbst und die Kommunikation darüber weiterhin als sicher -- insbesondere auch, weil solche Angriffe wie etwa Bluesnarfing nur bei abgeschalteten Sicherheitsfunktionen möglich waren. Das könnte sich nun ändern, nachdem zwei israelische Forscher einen Angriff beschrieben haben, mit dem sich die PIN zweier bereits gekoppelter (paired) Geräte und somit auch der Verschlüsselungs-Key knacken lässt. Damit ist es möglich, die Verbindung zu belauschen und auf Bluetooth-Geräte, etwa Handys und PDAs, zuzugreifen -- trotz aktivierter Sicherheitsfunktionen.

Bereits im vergangenen Jahr beschrieb der Sicherheitsexperte Ollie Whitehouse die Möglichkeit, anhand der mitgeschnittenen Bluetooth-Pakete eines Pairing-Prozesses die richtige PIN zu erraten. Aus Bequemlichkeitsgründen unterstützen die meisten Geräte nur eine vierstellige PIN, was den Angriff sehr vereinfacht. Aus der PIN leitet sich über einen Zwischenschritt ein individueller Link-Key ab, den die Geräte bei erfolgreichem Pairing speichern, um ihn zukünftig für die verschlüsselte Kommunikation und zur Authentisierung zu benutzen. Da sich der 128 Bit lange Link-Key nur aus den Daten während des Pairings rekonsturieren lässt, muss ein Angreifer genau zu diesem Zeitpunkt am richtigen Ort sein. Dies verringerte bislang das Risiko eines erfolgreichen Angriffs enorm. Auch hatte bis dato noch niemand ein Programm dafür geschrieben.

Nunmehr beschreiben Avishai Wool und Yaniv Shaked von der Universität in Tel Aviv in ihrer Arbeit nicht nur eine praktische Implementierung dieses Angriffs, sondern darüberhinaus auch eine bislang noch unbekannte Re-Pairing Attacke. Dabei wird den Endgeräten vorgegaukelt, ihr Gegenüber hätte den Link-Key vergessen, sodass ein erneuter Pairing-Prozess angestoßen wird. Auf diese Weise hat der Angreifer die Gelegenheit, die erforderlichen Daten mit einem Bluetooth-Sniffer zu einem beliebigen Zeitpunkt aufzuzeichnen. Insgesamt drei Methoden zeigen die Forscher auf, um den Schlüsselaustausch anzustoßen. Genaugenommen werden aber nur Daten zur Schlüsselerzeugung ausgetauscht und nicht der Schlüssel selbst.

Alle Methoden erfordern allerdings das Einschleusen von Bluetooth-Nachrichten mit gespoofter Bluetooth-ID zu definierten Zeitpunkten, was derzeit kein handelsübliches Bluetooth-Modul unterstützt. Dazu sind im Moment Eingriffe in die Firmware notwendig. Die Forscher heben zudem hervor, dass das Opfer bei der erneuten Kopplung die PIN nochmals eingeben müsste. Daraus könnte es unter Umständen auf einen gerade laufenden Angriff schließen und die Neueingabe verweigern.

Als Schutz vor einer Attacke empfehlen die Autoren deshalb, die PIN nur einmalig einzugeben und den Link-Key zu speichern. Bisherige Ratschläge, die PIN immer für einen Verbindungsaufbau einzugeben, halten sie für falsch. Dies würde eine trügerische Sicherheit vermitteln. Zudem fordern sie -- wie andere Sicherheitsspezialisten bereits seit 2001 --, statt der vierstelligen PIN eine mindestens 64 Bit lange PIN, wozu 19 Dezimalstellen nötig wären. Dann nämlich ließe sich die PIN aus mathematischen Gründen anhand der mitgelauschten Pakete nur noch sehr schwer rekonstruieren. Dass kurze PINs unsicher sind, weiß man zwar nicht erst seit Erfindung von Bluetooth, trotzdem plant die Bluetooth Special Interest Group die Einführung längerer und vor allem alphanumerischer PINs erst für dieses Jahr. Darüberhinaus sollen neue Kopplungsverfahren hinzukommen, die besser gegen Ausspähen schützen als bisherige.

Quelle und Links : http://www.heise.de/newsticker/meldung/60384

[SiLæncer]

Dass die Bluetooth-Implementierungen einiger Handys kritische Sicherheitslücken aufweisen, ist zwar seit längerem bekannt, aber offenbar noch nicht in alle Bevölkerungsschichten vorgedrungen. So konnte laut einem Spiegel-Bericht ein Hacker mit dem Pseudonym "Dagobert" im Berliner Regierungsviertel bei einer Rundtour mit dem Fahrrad die kompletten Telefonnummernverzeichnisse von drei Handys per Bluetooth unbemerkt auslesen. Allerdings soll es sich dabei nur um die Handys von Personenschützern gehandelt haben, in denen jedoch unter anderem die Durchwahlnummern von Kontakten bei Polizei, Bundesgrenzschutz, Kanzleramt und Verfassungsschutz gespeichert waren. Ein Politiker-Handy war im halbstündigen Testzeitraum wohl nicht in der Nähe, laut Dagobert wäre es aber nur eine Frage der Zeit gewesen, bis er auch ein solches Handy in Reichweite bekommen hätte.

Um einen erfolgreichen so genannten Bluebug-Angriff auf Bluetooth-Handys zu starten und Daten auszulesen sowie Telefonanrufe mitzuhören, ist nicht einmal mehr ein Laptop notwendig. Seit Ende des vergangenen Jahres gibt es das Tool Blooover für Symbian-basierte Handys wie etwa Nokias 6600, mit dem sich unauffällig die in der Nähe befindlichen Mobilfunktelefone penetrieren lassen. Prinzipiell lassen sich so auch E-Mails, Fotos und PIN-Codes für Bankautomaten ausspähen, wenn sie denn im Handy hinterlegt sind.

Der Schutz vor solchen Angriffen ist recht simpel: Für die verwundbaren Modelle, etwa die Nokia-Renner 6310 und 6310i sowie Sony Ericssons Kassenschlager T610, stellen die Hersteller Updates zur Verfügung. Allerdings ist es nicht immer so einfach, die Firmware zu aktualisieren. Bei Nokia beispielsweise muss dazu das Gerät vom Service eingeschickt werden. Wer diesen Aufwand scheut, sollte Bluetooth ausschalten oder wenigstens in den unsichtbaren "non-discoverable" Mode schalten.

Quelle und Links : http://www.heise.de/newsticker/meldung/60542