Connect with us

Wie man

Könnten Ihre Bluetooth-Geräte 2019 gehackt werden?

Könnten Ihre Bluetooth-Geräte 2019 gehackt werden?

Fizkes / ShutterstockBluetooth ist überall, ebenso wie seine Sicherheitslücken. Aber wie groß ist das Risiko? Wie besorgt sollten Sie über Bluejacking, Bluesnarfing oder Bluebugging sein? Folgendes müssen Sie wissen, um Ihre Geräte zu schützen.

Bluetooth-Sicherheitslücken gibt es zuhauf

Auf den ersten Blick scheint es ziemlich riskant zu sein, Bluetooth zu verwenden. Auf der jüngsten DEF CON 27-Sicherheitskonferenz Den Teilnehmern wurde empfohlen, Bluetooth zu deaktivieren auf ihren Geräten, während sie dort waren. Natürlich ist es sinnvoll, dass Sie mit Ihrer Gerätesicherheit vorsichtiger umgehen möchten, wenn Sie von Tausenden von Hackern an einem relativ kleinen Ort umgeben sind.

Auch wenn Sie nicht an einer Hackerkonferenz teilnehmen, gibt es berechtigte Gründe zur Besorgnis – lesen Sie einfach die Nachrichten. EIN Sicherheitslücke in der Bluetooth-Spezifikation wurde vor kurzem aufgedeckt. Es ermöglicht Hackern den Zugriff auf Ihr Bluetooth-Gerät über eine Technik namens Key Negotiation of Bluetooth (KNOB). Zu diesem Zweck zwingt ein Hacker in der Nähe Ihr Gerät, beim Herstellen einer Verbindung eine schwächere Verschlüsselung zu verwenden, damit er es leichter knacken kann.

Klingt kompliziert? Es ist irgendwie so. Damit der KNOB-Exploit funktioniert, muss sich der Hacker physisch in Ihrer Nähe befinden, wenn Sie Ihre beiden Bluetooth-Geräte verbinden. Und er hat nur ein kurzes Zeitfenster, um den Handshake abzufangen und eine andere Verschlüsselungsmethode zu erzwingen. Der Hacker muss dann das Passwort brutal erzwingen – das ist jedoch wahrscheinlich ziemlich einfach, da der neue Verschlüsselungsschlüssel nur ein Bit lang sein kann.

Betrachten Sie auch die Sicherheitslücke von Forschern der Boston University aufgedeckt. Verbundene Bluetooth-Geräte wie Ohrhörer und Lautsprecher übertragen ihre Identität auf überraschend erkennbare Weise. Wenn Sie ein solches Gerät verwenden, können Sie verfolgt werden, solange es eingeschaltet ist.

Mann läuft mit Bluetooth-Ohrhörern an.Jabra

Diese beiden Sicherheitslücken sind im letzten Monat aufgetreten, und Sie müssen nur ein Jahr zurückblättern, um sie zu finden Ein weiterer. Kurz gesagt, wenn ein Hacker in der Nähe ist und einen ungültigen öffentlichen Schlüssel an Ihr Bluetooth-Gerät sendet, ist es sehr wahrscheinlich, dass er Ihren aktuellen Sitzungsschlüssel ermitteln kann. Sobald dies erledigt ist, kann der Hacker alle Daten, die zwischen den Bluetooth-Geräten übertragen werden, problemlos abfangen und entschlüsseln. Schlimmer noch, sie kann auch schädliche Nachrichten auf das Gerät injizieren.

Und wir könnten weitermachen. Es gibt zahlreiche Beweise dafür, dass Bluetooth ungefähr so ​​sicher ist wie ein Vorhängeschloss aus Fusilli-Nudeln.

Es ist normalerweise der Fehler des Herstellers

Apropos Fusilli-Vorhängeschlösser, es sind nicht die Exploits in der Bluetooth-Spezifikation, die schuld sind. Hersteller von Bluetooth-Geräten tragen eine erhebliche Verantwortung für die Verschärfung der Schwachstellen von Bluetooth. Sam Quinn, Sicherheitsforscher bei McAfee Advanced Threat Research, berichtete How-to Geek über eine Sicherheitslücke, die er für ein Bluetooth-Smart-Vorhängeschloss offengelegt hatte:

„Sie hatten es implementiert, ohne dass ein Pairing erforderlich war. Wir haben festgestellt, dass ein bestimmter Wert, der an ihn gesendet wurde, ohne Benutzernamen oder Kennwort geöffnet wird. Dabei wird ein Bluetooth-Energiesparmodus namens „Just Works“ verwendet. „

Mit Just Works kann jedes Gerät ohne andere Authentifizierung sofort eine Verbindung herstellen, Befehle ausgeben und Daten lesen. Während dies in bestimmten Situationen praktisch ist, ist es nicht der beste Weg, ein Vorhängeschloss zu entwerfen.

„Viele Sicherheitslücken kommen von einem Hersteller ins Spiel, der nicht versteht, wie die Sicherheit für sein Gerät am besten implementiert werden kann“, sagte Quinn.

Tyler Moffitt, ein leitender Analyst für Bedrohungsforschung bei Webroot, stimmte zu, dass dies ein Problem ist:

„Es werden so viele Geräte mit Bluetooth erstellt, und es gibt keine Vorschriften oder Richtlinien darüber, wie Anbieter Sicherheit implementieren sollten. Es gibt viele Anbieter, die Kopfhörer, Smartwatches und alle Arten von Geräten herstellen – und wir wissen nicht, welche Art von Sicherheit sie eingebaut haben. “

Moffitt beschreibt ein Cloud-verbundenes Smart Toy, das er einmal evaluiert hat und das in der Cloud gespeicherte Audio-Nachrichten wiedergeben kann. „Es wurde für Menschen entwickelt, die viel reisen, und für Militärfamilien, damit sie Nachrichten hochladen können, die die Kinder auf dem Spielzeug hören können.“

Leider können Sie sich auch über Bluetooth mit dem Spielzeug verbinden. Es wurde überhaupt keine Authentifizierung verwendet, sodass ein böswilliger Schauspieler draußen stehen und alles aufzeichnen konnte.

Moffitt sieht den preisempfindlichen Gerätemarkt als Problem. Viele Anbieter reduzieren die Sicherheit, weil Kunden nicht viel Geldwert sehen oder ihm zuweisen.

„Wenn ich das Gleiche wie diese Apple Watch für weniger als die Hälfte des Preises bekomme, werde ich das ausprobieren“, sagte Moffitt. „Aber diese Geräte sind oft nur Produkte mit minimaler Lebensfähigkeit, die für maximale Rentabilität ausgelegt sind. Bei der Entwicklung dieser Produkte wird häufig keine Sicherheitsüberprüfung durchgeführt. “

Vermeiden Sie attraktive Belästigungen

Die attraktive Belästigungslehre ist ein Aspekt des Deliktsrechts. Wenn darunter ein Pool oder ein Baum, der Süßigkeiten anbaut (nur in magischen Bereichen anwendbar), ein Kind dazu verleitet, auf Ihr Grundstück zu gelangen, und es verletzt ist, sind Sie haftbar. Einige Bluetooth-Funktionen sind wie ein attraktives Ärgernis, das Ihr Gerät und Ihre Daten gefährdet, und es ist kein Hacking erforderlich.

Beispielsweise verfügen viele Telefone über eine Smart Lock-Funktion. Sie können Ihr Telefon entsperrt lassen, solange es mit einem bestimmten, vertrauenswürdigen Bluetooth-Gerät verbunden ist. Wenn Sie also Bluetooth-Kopfhörer tragen, bleibt Ihr Telefon entsperrt, solange Sie sie eingeschaltet haben. Dies ist zwar praktisch, macht Sie jedoch anfällig für Hacking.

„Dies ist eine Funktion, die ich von ganzem Herzen niemandem empfehlen kann“, sagte Moffitt. „Es ist nur reif für Missbrauch.“

Es gibt unzählige Situationen, in denen Sie möglicherweise weit genug von Ihrem Telefon entfernt sind, dass Sie nicht die Kontrolle darüber haben, und es sich dennoch in Bluetooth-Reichweite befindet. Im Wesentlichen haben Sie Ihr Telefon an einem öffentlichen Ort entsperrt gelassen.

Windows 10 verfügt über eine Variante des Smart Lock namens Dynamic Lock. Es sperrt Ihren Computer, wenn Ihr Telefon die Bluetooth-Reichweite verlässt. Im Allgemeinen geschieht dies jedoch erst, wenn Sie 30 Fuß entfernt sind. Und selbst dann ist Dynamic Lock manchmal träge.

Windows 10 Dynamic Lock-Anmeldebildschirm.

Es gibt andere Geräte, die zum automatischen Sperren oder Entsperren entwickelt wurden. Es ist cool und futuristisch, wenn ein intelligentes Schloss Ihre Haustür entriegelt, sobald Sie auf die Veranda treten, aber es macht sie auch hackbar. Und wenn jemand Ihr Telefon nimmt, kann er jetzt in Ihr Haus kommen, ohne den Passcode Ihres Telefons zu kennen.

Die Hand eines Mannes hält ein iPhone, das die August Smart Lock-App zeigt, und öffnet eine Tür mit einem August Smart Lock.August

„Bluetooth 5 kommt heraus und hat eine theoretische Reichweite von 800 Fuß“, sagt Moffitt. „Das wird diese Art von Bedenken verstärken.“

Treffen Sie angemessene Vorsichtsmaßnahmen

Es ist klar, dass Bluetooth echte Risiken birgt. Das bedeutet jedoch nicht, dass Sie Ihre AirPods wegwerfen oder Ihre tragbaren Lautsprecher verkaufen müssen – das Risiko ist tatsächlich gering. Damit ein Hacker erfolgreich sein kann, muss er sich für ein Bluetooth-Gerät der Klasse 1 in einem Umkreis von 300 Fuß um Sie oder für ein Bluetooth-Gerät der Klasse 2 in einem Umkreis von 30 Fuß befinden.

Er muss auch mit einem bestimmten Ziel für Ihr Gerät anspruchsvoll sein. Bluejacking eines Geräts (Übernahme der Kontrolle zum Senden von Nachrichten an andere Bluetooth-Geräte in der Nähe), Bluesnarfing (Zugriff auf oder Diebstahl von Daten auf einem Bluetooth-Gerät) und Bluebugging (Übernahme der vollständigen Kontrolle über ein Bluetooth-Gerät) erfordern unterschiedliche Exploits und Fähigkeiten.

Es gibt viel einfachere Wege, um die gleichen Dinge zu erreichen. Um in jemandes Haus einzubrechen, können Sie versuchen, das Haustürschloss zu betäuben oder einfach einen Stein durch ein Fenster zu werfen.

„Ein Forscher in unserem Team sagt, die Brechstange sei das beste Hacking-Tool“, sagte Quinn.

Das heißt aber nicht, dass Sie keine angemessenen Vorsichtsmaßnahmen treffen sollten. Deaktivieren Sie in erster Linie die Smart Lock-Funktionen auf Ihrem Telefon und PC. Binden Sie die Sicherheit eines Geräts nicht über Bluetooth an die Anwesenheit eines anderen Geräts.

Verwenden Sie zum Pairing nur Geräte mit Authentifizierung. Wenn Sie ein Gerät kaufen, für das kein Passcode erforderlich ist, oder der Passcode 0000 lautet, geben Sie es für ein sichereres Produkt zurück.

Es ist nicht immer möglich, aber aktualisieren Sie die Firmware auf Ihren Bluetooth-Geräten, falls verfügbar. Wenn nicht, ist es vielleicht an der Zeit, das Gerät auszutauschen.

„Es ist wie mit Ihrem Betriebssystem“, sagte Moffitt. „Wenn Sie Windows XP oder Windows 7 verwenden, ist die Wahrscheinlichkeit einer Infektion mehr als doppelt so hoch. So ist es auch mit alten Bluetooth-Geräten. “

Wenn Sie jedoch die richtigen Vorsichtsmaßnahmen treffen, können Sie das Risiko, gehackt zu werden, erheblich begrenzen.

„Ich denke gerne, dass diese Geräte nicht unbedingt unsicher sind“, sagte Quinn. „In den 20 Jahren, in denen wir Bluetooth hatten, hat bis jetzt niemand diese KNOB-Sicherheitslücke entdeckt, und es sind keine Bluetooth-Hacks in der realen Welt bekannt.“

Aber er fügte hinzu: „Wenn ein Gerät keine offene Kommunikation benötigt, können Sie Bluetooth auf diesem Gerät möglicherweise ausschalten. Das fügt nur einen weiteren Angriffsvektor hinzu, den Hacker verwenden könnten. “

Continue Reading
Click to comment

Leave a Reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Tendencia