Bluetooth-Angriffe aus großer Entfernung

Eine Gruppe von Bluetooth- und WLAN-Spezialisten hat erstmals den Nachweis geführt und veröffentlicht, dass Angriffe auf anfällige Bluetooth-Handys aus weit größerer Entfernung möglich sind als die von Herstellern angegebenen Reichweiten vermuten lassen. Martin Herfurt, John Hering, James Burgess, Kevin Mahaffey und Mike Outmesguine haben gemeinsam ein System aufgesetzt, mit dem sich ein unmodifiziertes Nokia 6310i aus 1,08 Meilen Entfernung manipulieren ließ (rund 1,74 Kilometer).

Viele Nutzer von anfälligen Bluetooth-Handys fühlen sich bisher nicht gefährdet, denn die Hersteller geben die Reichweite des Nahfunks mit rund 10 Metern an -- da sich Angreifer in der Nähe aufhalten müssten, würden sie schnell auffallen, so die Annahme der Optimisten. Auf den ersten Blick klingt das plausibel, denn die meisten Bluetooth-Handys senden mit nur 1 mW und kommunizieren mit handelsüblichen Gegenstellen wie PCs oder PDAs tatsächlich nur im Umkreis von rund 10 Metern (DECT-Schnurlostelefone oder WLAN-Geräte senden mit bis zu 300 mW und sind für Reichweiten bis zu 300 Meter ausgelegt). Herfort und Kollegen geben nun an, einen "frisierten" Bluetooth-USB-Dongle mit Richtantenne mit 19 dBi Gewinn auf Seiten des Angreifers eingesetzt zu haben, um die Entfernung zu erhöhen -- in WLAN-Kreisen werden Richtantennen schon seit langem eingesetzt, etwa um weit entfernte Stationen zu koppeln.

Die Erklärung liegt darin, dass die Reichweitenangaben beliebiger Funkgeräte nur im Zusammenhang mit weiteren Parametern gelten, etwa dem Funkstörpegel zwischen den Gegenstellen, der Dämpfung (Wände erhöhen die Dämpfung und senken die Reichweite spürbar) und eben auch der Art der eingesetzten Antenne sowie ihrer Eingangsempfindlichkeit. Zum Beispiel liefern schon bessere handelsübliche Bluetooth-Adapter höhere Reichweiten als in der Bluetooth-Spezifikation angegeben. So sind viele Bluetooth-USB-Dongles bei Sichtkontakt laut Spezifikation für maximal 100 Meter ausgelegt (sog. Klasse-1-Geräte, die mit 100 mW senden). Die Angabe gilt aber nur für einfache Rundstrahlantennen mit Empfangsempfindlichkeiten von deutlich unter -80 dBm. Dongles mit besserer Empfangsempfindlichkeit konnten in Tests Distanzen deutlich über 100 Meter überbrücken.

Die Richtfunktechnik dürfte den Spielraum für potenzielle Angreifer gegenüber handelsüblichen Klasse-1-Dongles also noch etwas erhöhen. Sie erfordert aber auch mehr Know-how und neben der Richtantenne auch zusätzliche technische Ausrüstung, denn die Richtfunkkommunikation reagiert um so empfindlicher auf Vibrationen oder Erschütterungen, je stärker der Richtfunkstrahl fokussiert ist.

Im vorliegenden Fall wurde eine Bluesnarf-Attacke auf das Nokia 6310i ausgeführt. Dabei lassen sich Handy-Daten wie Adressverzeichnisse, Kalender, Uhrzeit, Visitenkarte oder auch Identity Codes manipulieren, ohne dass das Handy die Aktionen anzeigt. Über das Know-how hinaus braucht man lediglich einen Linux-PC oder -PDA mit Bluetooth-Adapter sowie ein spezielles Programm zum Absetzen von Kommandos. BlueSnarf-Angriffe sind gegen sechs Modelle von Nokia und Sony Ericsson möglich, nämlich 6310 (Firmware 4.10), Nokia 6310i (Firmwares 4.07, 5.50 und 5.51), Sony Ericsson T68i (R2B025), Sony Ericsson T610 (R1A081), Sony Ericsson T630 (R4C003) und Sony Ericsson Z600 (R2E004). Natürlich erhöht der Richtfunkeinsatz aber auch für andere Attacken die Reichweite, etwa für die Chaos-Attacke, die auch unbemerkte SMS-Kommunikation oder Anrufe zu 0190-er Rufnummern ermöglicht. In allen Fällen beruhen die Attacken darauf, dass sich die in den Handys eingebauten Sicherheitsmechanismen vom Nutzer unbemerkt umgehen lassen (Authentifizierung und Verschlüsselung).

Die Handy-Hersteller sind seit Längerem über die Sicherheitslücken informiert; für manche Geräte gibt es bereits Updates -- etwa für Nokias Verkaufsrenner, das Modell 6310i (die Version 5.52 schließt die bisher bekannten Lücken) oder auch für das UMTS/GSM-Modell 6650. Bei anderen Modellen und Herstellern ist noch offen, wann korrigierte Firmware-Versionen erhältlich werden. Bis dahin sollten Nutzer der betroffenen Geräte zumindest die Bluetooth-Sichtbarkeit (Discovery Mode) des Handys für andere Gegenstellen abschalten. So wird es viel aufwendiger, die für die Attacken essenzielle Bluetooth-Adresse eines Opfer-Gerätes zu ermitteln. Geräte, die bereits mit dem Handy gekoppelt sind, brauchen die Sichtbarkeit nicht, und für die Verbindung mit neuen Geräten sollte man die Sichtbarkeit nur vorübergehend einschalten. Wer Bluetooth komplett abschaltet, bekommt natürlich den größtmöglichen Schutz, muss aber auf den Drahtlos-Komfort des Nahfunks verzichten. (dz)