Sicherheitslücke bei Bluetooth-Geräten: Das musst du jetzt wissen!

Gerade wurde eine Sicherheitslücke entdeckt, die Millionen von Bluetooth-Lautsprecher und Kopfhörern angreifbar macht. Was du darüber wissen musst und welche Updates du sofort installieren solltest, erfährst du hier.

André Westphal 1.12.2023 – 17:01 Uhr Lesezeit ca. 2 Minuten

Sicherheitslücken machen Tausende von Bluetooth-Geräten angreifbar.

Bild: Chris Hardy

Der Standard Bluetooth ist inzwischen im Alltag quasi allgegenwärtig. Du kannst damit etwa Gaming-Controller mit deinem Notebook, Desktop-PC oder z. B. deinem Smartphone oder Tablet verbinden. Und natürlich: Bluetooth dient als wohl wichtigster Übertragungsstandard für kabellose Lautsprecher und Kopfhörer. Dabei gibt es unterschiedliche Codecs und unterschiedliche Versionen des Standards. Doch inzwischen haben Sicherheitsforscher von Eurecom drastische Schwachstellen entdeckt. Im Rahmen der sogenannten BLUFFS (Bluetooth Forward and Future Secrecy) sind Angriffe möglich.

Betroffen sind von den zuvor unbekannten Schwachstellen, welche Bluetooth in den Versionen 4.2 bis 5.3 tangieren, alle Geräte, die auf den Standard in den genannten Versionen zurückgreifen. Es handelt sich also um einen grundlegenden Fehler im Aufbau. Ermöglicht wird es dadurch, sogenannte „Man-in-the-Middle-Attacken zu starten. Die Angriffe erzwingen dabei quasi einen schwachen Schlüssel bei der Verbindung, der sich von Dritten leicht knacken lässt. Umgehen lässt sich dies, wenn durch die Hersteller ein höherer Sicherheitsmodus vorausgesetzt wird – mindestens Modus 4 von Level 4.

Von den Sicherheitslücken sind natürlich auch Bluetooth-Kopfhörer betroffen.

Microsoft hat z. B. bereits reagiert und im November 2023 entsprechende Updates für Windows 10 / 11 und die Server-Version veröffentlicht. Allerdings ist es ohnehin relativ kompliziert, diese Sicherheitslücke in der Praxis auszunutzen. Zumal sich das angreifende Gerät in Reichweite der verwundbaren Devices befinden muss. Attacken über das Internet fallen also flach. Die für den Standard verantwortliche Bluetooth SIG hat die Lage entsprechend relativierend kommentiert.

Bluetooth: BLUFFs-Angriffe sind für Betroffene unsichtbar

Die Angriffe müssen also vor Ort erfolgen und beide Geräte müssen verwundbar sein, also z. B. sowohl dein Smartphone als auch deine Kopfhörer oder Lautsprecher mit Bluetooth. Startet jemand so einen Mittelsmann-Angriff, ist er für dich unsichtbar. Du kannst die Attacke also leider weder direkt erkennen noch manuell eingreifen. Wie wir bereits erklärt haben, sind diese Angriffe, die sich in sechs Teilschritten vollziehen, aber komplex und können nur in direkter Nähe der Geräte ausgeführt werden. Es ist also sehr unwahrscheinlich, dass du damit in Berührung kommen wirst.

Die Sicherheitslücke im Standard Bluetooth ist nur relativ kompliziert ausnutzbar.

Vermutlich werden viele Hersteller zudem Microsoft nacheifern und schnelle Updates verteilen, um sichere Schlüssel bzw. Verschlüsselungskanäle anzulegen, die sich nicht so leicht austricksen lassen. Aufgedeckt wurde die Misere im Übrigen ganz konkret vom Sicherheitexperten Daniele Antonioli. Solltest du technisch sehr versiert bzw. interessiert sein, findest du seine Beschreibung des gesamten Procederes hier.

Weiterführende Links: