Miljarden apparaten kwetsbaar door Bluetooth-kwetsbaarheid

  1. 12 sep 2017
  2. 0 reacties

Een nieuwe beveiligingslek in Bluetooth maakt ruim 5 miljard apparaten wereldwijd kwetsbaar voor cyberaanvallen. Het lek wordt BlueBorne genoemd en kan worden ingezet om de controle over aangevallen apparaten volledig over te nemen.

Het lek is ontdekt door beveiligingsbedrijf Armis. De onderzoekers hebben in totaal acht zero-day kwetsbaarheden ontdekt in de Bluetooth-implementaties van Android, iOS, Windows en Linux. Vier van deze kwetsbaarheden zijn als kritiek aangemerkt. Met behulp van BlueBorn kunnen uiteenlopende aanvallen worden uitgevoerd, waaronder het op afstand uitvoeren van code en Man-in-the-Middle aanvallen.

Pairen is niet noodzakelijk

Opvallend is dat een apparaat niet gepaired hoeft te zijn met het apparaat van een aanvaller om aangevallen te worden, terwijl het ook niet in de ‘discoverable mode’ hoeft te staan. Wel is het noodzakelijk Bluetooth ingeschakeld te hebben. Dit is mogelijk doordat Bluetooth continu zoekt naar andere apparaten, ook als de ‘discoverable mode’ niet ingeschakeld is. Dit stelt de aanvaller in staat het MAC-adres van een apparaat te achterhalen.

Met behulp van dit adres kan de aanvaller een specifiek apparaat aanspreken om zo te achterhalen op welk besturingssysteem het apparaat draait. Door vervolgens de specifieke kwetsbaarheid in de Bluetooth-implementatie op dit platform te misbruiken kan de aanvaller toegang verkrijgen tot het apparaat. Een aanval kan in ongeveer 10 seconden worden uitgevoerd, zonder dat hierbij interactie van het slachtoffer nodig is.

Android, Linux, Windows en iOS zijn kwetsbaar

Alle versies van Android, Linux en Windows zijn kwetsbaar, terwijl iOS tot versie 10 aangevallen kan worden via BlueBorne. Dit betekent volgens de onderzoekers in de praktijk dat nagenoeg iedere computer, mobiel apparaat, smart TV of andere Internet of Things-apparaat die op één van deze besturingssysteem draait aangevallen kan worden via tenminste één van de acht ontdekte kwetsbaarheden. Dit is volgens de onderzoekers een fors deel van alle ‘connected’ apparaten wereldwijd.

Het lek is in iOS 10 dus al verholpen, terwijl voor Android op 4 septenber een update is verschenen. Microsoft stelt vandaag nog updates voor Windows beschikbaar. Updates voor Linux moeten op korte termijn beschikbaar worden gesteld. Indien voor een apparaat geen update beschikbaar is, doen gebruikers er verstandig aan Bluetooth uit te schakelen tot de kwetsbaarheid is gedicht.

Demonstratie

In de onderstaande video geven de onderzoekers een overzicht van BlueBorne.

Daarnaast laat Armis in de onderstaande video zien hoe een Google Pixel wordt overgenomen via BlueBorne.

Ernstige gevolgen

De onderzoekers stellen dat het lek ernstige gevolgen kan hebben, ondermeer aangezien er geen effectieve beveiligingstechnieken zijn die dergelijke aanvallen detecteren en tegenhouden. Daarnaast heeft het Bluetooth proces op alle besturingssysteem veel privileges, waardoor in principe de volledige controle over een aangevallen apparaat kan worden overgenomen. Indien de aanval dus wordt uitgevoerd, kunnen de consequenties hiervan groot zijn.

Daarnaast kunnen aanvallers met behulp van een aangevallen apparaat andere apparaten in de directe nabijheid aanvallen, waardoor zij zich door bijvoorbeeld een bedrijf kunnen verspreiden. Armis waarschuwt dat de methode ook ingezet kan worden om air-gapped machines aan te vallen indien deze voorzien zijn van een Bluetooth-module.