Bluetooth Wie gefähr­lich ist die Sicher­heits­lücke „Blueborne“?

Bluetooth sorgt für Bequemlich­keit

Bluetooth macht das Leben leichter: Wer den schlappen Sound seines Fernsehers verbessern will, sein Tablet mit einer Funk­tastatur verknüpfen möchte, oder einfach nicht mit dem Kopf­hörer­kabel am Türgriff hängenbleiben will, der greift heute oft zu Bluetooth-Geräten. Auch wenn Geschäfts­leute mit einem kleinen Riegel am Kopf durch die Stadt laufen und telefonieren, Jugend­liche den ganzen Park mit ihrer Musik beglü­cken oder das Fitnessarmband seine Daten zum Handy schickt, steckt in vielen Fällen Bluetooth dahinter. Die Funk­technik macht Kabel über­flüssig, verbraucht relativ wenig Energie und erfordert – im Gegen­satz zum Infrarot-Funk von früher – keine separaten Sendegeräte. Kurzum: Die ganze Welt ist von Bluetooth-Fans besetzt. Die ganze Welt? Nein, eine unbeug­same Schar von IT-Sicher­heits­forschern hört nicht auf, Widerstand zu leisten.

Acht Schwächen, acht Milliarden Geräte

Aktuell geht dieser Widerstand insbesondere von der amerikanischen Firma Armis aus, die acht Bluetooth-Sicher­heits­lücken entdeckt und unter dem Namen „Blueborne“ zusammengefasst hat und nun warnt, rund acht Milliarden Geräte seien in Gefahr – betroffen seien Modelle mit den Betriebs­systemen Wind­ows, Android, iOS und Linux. In eindringlichen Videos schildert Armis, wie Angreifer Smartphones kapern, heimlich Daten stehlen und Schadsoftware darauf installieren können. Anders als bei vielen Phishing-Atta­cken müsse der Nutzer dazu nichts aufrufen, herunter­laden oder eingeben – der Angreifer könne das Handy seines Opfers einfach fern­steuern, selbst wenn es bereits mit einem anderen Bluetooth-Gerät verbunden sei. Zudem ließen sich solche Angriffs­szenarien per Software auto­matisieren, sodass die massen­weise Weiterverbreitung von Schadsoftware quasi im Vorbeigehen möglich sei.

BSI: Ausschalten oder auf Update hoffen

Nach der Veröffent­lichung des Armis-Berichts zeigte sich die Fach­welt entsetzt. Viele Medien über­nahmen die Schil­derungen des IT-Sicher­heits­unter­nehmens. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) riet sogar dazu, Bluetooth gänzlich abzu­schalten. Die Alternative: Updates installieren. Je nach Anbieter und Modell kann es aber dauern, bis ein Update zur Verfügung steht. Google patcht die Android-Versionen seiner Pixel-Modelle zwar meist recht schnell. Andere große Hersteller von Android-Geräten brauchen hingegen oft etwas länger. Viele Produkte weniger namhafter Anbieter sowie zahlreiche ältere Modelle dürften nie ein Update erhalten, das die „Blueborne“-Sicher­heits­lücke schließt. Doch ist die Situation wirk­lich so dramatisch, wie Armis, BSI und Fachmedien suggerieren?

Die Lage bei den einzelnen Systemen

• Wind­ows: Microsoft hat die Betriebs­systeme Wind­ows 7, 8 und 10 mit einem Software-Update gegen Blueborne gesichert. Zuvor war es möglich, Daten abzu­fangen, die zwischen einem Wind­ows-Rechner und Internet­servern ausgetauscht werden. Das ging allerdings nur bei unver­schlüsselten Verbindungen – viele Websites setzen heut­zutage aber starke Verschlüsse­lungen ein.
• Mac OS: Dies ist das einzige weit verbreitete Betriebs­system, bei dem Armis keine Bluetooth-Sicher­heits­lücken entdeckte.
• Android: Hier besteht das größte Risiko. Welt­weit sollen laut Google mehr als zwei Milliarden Android-Geräte aktiv sein. Betroffen sind die Versionen 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2 und 8.0. Angreifer könnten Geräte mit diesen Versionen kapern und fern­steuern, etwa um Daten zu stehlen, heimlich Ton- und Video­aufnahmen anzu­fertigen oder Schadsoftware zu installieren. Außerdem könnten sie den gesamten Daten­verkehr zwischen dem jeweiligen Gerät und Internet­servern abfangen.
  Google hat seine Pixel-Modelle bereits per Software-Update gesichert. LG und Samsung haben ebenfalls schon Patches ausgeliefert, konnten auf Anfrage der Stiftung Warentest aber nicht mitteilen, welche Modelle das Update erhalten. Huawei ist dabei, seine Modelle P8 lite 2017, P10, P10 Plus und P10 lite mit Updates zu versorgen – das P9 und das P9 lite sollen in Kürze folgen. HTC konnte noch keine Angaben zu Updates für seine Geräte machen. Sony reagierte gar nicht auf eine diesbezügliche Anfrage der Stiftung Warentest.
• iOS: Apple hat bereits Updates ausgeliefert, um seine Geräte gegen Blueborne abzu­sichern. Nur Modelle, die nicht über iOS 10 oder 11 verfügen, sind von der Schwach­stelle betroffen. Dies ist haupt­sächlich beim inzwischen sechs Jahre alten und daher nicht mehr allzu weit verbreiteten iPhone 4s der Fall – und auch nur dann, wenn die Sprach­assistentin Siri darauf akti­viert ist. Im Auslieferungs­zustand ist Siri auf dem iPhone 4s deaktiviert.
• Linux: Angreifer könnten einen Speicher­über­lauf produzieren – dadurch wären sie möglicher­weise in der Lage, Abstürze hervorzurufen oder Befehle auf dem Rechner auszuführen. Allerdings kommt Linux primär auf Internet­servern statt auf Smartphones, Tablets oder PCs zum Einsatz. Server haben meist gar keine Bluetooth-Schnitt­stellen.
• Andere Systeme: Bei Geräten mit anderen Betriebs­systemen – etwa Auto­radios, Kopfhörern oder Lautsprechern – ist die Lage unklar. Der anzu­richtende Schaden ist dort zwar meist geringer als bei Smartphones, Tablets und Notebooks. Allerdings dürften auch die Sicher­heits­mecha­nismen weniger ausgefeilt sein; zudem sind Updates hier vermutlich besonders rar.

Mildernde Umstände

Es gibt gleich mehrere Faktoren, die das Risiko­potenzial der „Blueborne“-Schwach­stellen einschränken:

Erstens haben Microsoft, Google und Apple ihre aktuellen Betriebs­systeme gepatcht, bevor Armis die Sicher­heits­lücken der Öffent­lich­keit bekannt­gab.

Zweitens sind bislang weder bereits erfolgte Hacks noch Schad­programme bekannt geworden, die diese Schwach­punkte ausnutzen.

Drittens benötigen Hacker detaillierte Infos über die tech­nische Umsetzung der Bluetooth-Technik auf dem jeweiligen Gerät, das sie angreifen wollen.

Viertens lassen sich Angriffe via Bluetooth wegen der begrenzten Reich­weite der Funk­technik nur dann durch­führen, wenn der Hacker sich in unmittel­barer Nähe zu seinem Opfer befindet. Geht es ihm um die Geheim­nisse einer Einzel­person – etwa eines Politikers oder Wirt­schafts­bosses –, mag sich der Aufwand lohnen. Will der Hacker aber möglichst viele Daten von möglichst vielen Menschen abgreifen, dann ist es für ihn deutlich sinn­voller, Webseiten zu infizieren oder Schadsoftware per E-Mail-Anhang massenhaft zu verschi­cken statt jedes Opfer einzeln zu atta­ckieren.

Fazit: Otto Normal­verbraucher hat wenig zu befürchten

Wie jede Netz­werk­technik ist auch Bluetooth nicht gegen Angriffe gefeit. Die von Armis veröffent­lichten Schwach­stellen sind aber kein Grund zur Panik – sie lassen sich nur auf bestimmten Geräten ausnutzen und auch dort nur, wenn der Angreifer detaillierte Infos über die Bluetooth-Konfiguration des Geräts hat. Zudem lohnen sich solche Angriffe eigentlich ausschließ­lich bei hoch­rangigen Ziel­personen. Kurzum: Aus rein tech­nischer Sicht sind vor allem viele Android-Anwender gefährdet – der Arbeits­aufwand wäre für Hacker aber relativ groß und würde sich beim „Durch­schnitts­bürger“ kaum rentieren. Die allermeisten Nutzer können daher weiterhin unbe­sorgt über Bluetooth Musik hören, telefonieren oder Daten versenden.

Drei Tipps zu Ihrer Sicherheit

Mit den folgenden Tipps können Sie Ihre Sicherheit zusätzlich stärken:

1. Stellt der Anbieter Ihres Bluetooth-Geräts ein Software-Update bereit, sollten Sie dieses umge­hend installieren. Generell sollten Sie offizielle Aktualisierungen Ihrer Geräte-Anbieter stets so schnell wie möglich einrichten – am effektivsten klappt das über auto­matische Updates.
2. Schalten Sie Bluetooth aus, wenn Sie es gerade nicht benötigen.
3. Lassen Sie über Bluetooth keine Downloads zu, wenn Sie Absender und Inhalt nicht kennen.

Newsletter: Bleiben Sie auf dem Laufenden

Mit den Newslettern der Stiftung Warentest haben Sie die neuesten Nach­richten für Verbraucher immer im Blick. Sie haben die Möglich­keit, Newsletter aus verschiedenen Themen­gebieten auszuwählen.

test.de-Newsletter bestellen

Diese Meldung ist erst­mals am 26. September 2017 auf test.de erschienen. Sie wurde am 29. September 2017 aktualisiert.