21C3: Blooover demonstriert schwere Sicherheitslücken bei Bluetooth-Handys

Sicherheitsexperten der Organisation trifinite haben auf dem 21. Chaos Communication Congress (21C3) in Berlin eine Java-Applikation veröffentlicht, mit der sich erstmals von einem Bluetooth-Mobiltelefon aus zahlreiche Manipulationen an einem anderen Nahfunk-geeigneten Handys bewerkstelligen lassen. Das Werkzeug, das die findigen Mobiltechniknutzer in einer Mischung aus Bluetooth und Hoover (englisch für "Staubsauger") Blooover getauft haben, führt eine so genannte BlueBug-Attacke aus. Der Angreifer kann damit Anrufe von einem anfälligen Bluetooth-Handy aus lancieren, SMS über das Gerät verschicken, Adressbucheinträge lesen und verändern, eine Internetverbindung starten sowie zahlreiche andere möglicherweise kostspielige und in die Privatsphäre des Mobiltelefoneigentümers eingreifende Handstreiche auslösen. Daneben aktiviert Blooover eine Rufumleitung zu einer kostenlosen Servicenummer, die normalerweise Nutzern mit Problemen mit Microsofts Windows XP zur Verfügung steht.

Zahlreiche Bluetooth-Schwachstellen bei Mobiltelefonen sind seit über einem Jahr dokumentiert. Mit am bekanntesten neben dem BlueBug ist BlueSnarf. Mit dieser Angriffsmethode lassen sich Daten wie Adressverzeichnisse, Kalender, Uhrzeit oder auch Visitenkarten manipulieren, ohne dass das Handy die Aktionen anzeigt. Betroffen sind beispielsweise die Nokia-Renner 6310 und 6310i sowie Sony Ericssons Kassenschlager T610 -- jeweils mit unveränderter Firmware. Dass derlei Attacken durch eine Koppelung eines Bluetooth-Adapters mit einer WLAN-Antenne auch weit über die eigentlichen Nahfunkgrenzen in Bereiche über anderthalb Kilometer ausgedehnt werden können, ist ebenfalls kein Geheimnis mehr. Bislang war dafür aber immer ein präpariertes Laptop erforderlich. Blooover saugt die fremden Daten dagegen von Handy zu Handy ab -- kaum noch bemerkbar für den Inhaber des angegriffenen Mobiltelefons mit aktiver Bluetooth-Verbindung.

Es handle sich um eine reine "Nachweisapplikation" der Sicherheitsschwachstelle für "Bildungszwecke", betont Martin Herfurt von trifinite angesichts der leichten Bedienbarkeit der Software denn auch. Den Hackern auf dem 21C3 gab er den Hinweis mit auf den Weg: "Bitte nutzt sie verantwortungsbewusst". Die betroffenen Hersteller seien im Vorfeld gewarnt worden und hätten Firmware-Updates zur Verfügung gestellt. An die Nutzer der BlueBug-anfälligen Mobiltelefone appellierte Herfurt nachdrücklich, ihre Geräte zu Servicepartnern zu bringen und dort auf den neuesten Betriebssystemstand bringen zu lassen. Blooover selbst läuft auf Handys mit der Java-Ausrüstung J2ME MIDP 2.0 und einer implementierten JSR-82-Programmierschnittstelle. Dazu gehören unter anderem die Nokia-Modelle 6600 und 7610, das Sony Ericsson P900 oder das Siemens S65.

Gleichzeitig mit Blooover haben die trifinite-Forscher bislang unbekannte Details über die gängigen Bluetooth-Angriffsmethoden herausgegeben. BlueSnarf nutzt demnach einen gewöhnlichen OBEX-Kanal (Object Exchange) in unbeabsichtigter Weise. Eigentlich ist das Verfahren für den Objektaustausch dafür gedacht, via Infrarot oder Bluetooth digitale Visitenkarten oder Kalendereinträge zwischen Mobiltelefonen auszutauschen. Beim BlueSnarfing wird dabei jedoch ein "Push"- in einen "Pull"-Befehl verwandelt, sodass die anvisierten Objekte abgegriffen oder verändert werden können.

BlueBug macht sich zwei geheime RFCOMM-Kanäle (Radio Frequency Communications) zunutze. Derlei Bluetooth-Funkkontakte sollen serielle Anschlüsse emulieren. Bei den Kanälen 16 und 17 handelt es sich bei den angreifbaren Handys allerdings um klassische Hintertüren, auf denen die Sicherheitsfunktionen von Bluetooth nicht greifen. Über diesen Weg können klassische Terminalbefehle bei den betroffenen Mobiltelefonen ausgeführt werden, sodass der Phantasie des Hackers bei der Nutzung der so gekoppelten Geräte kaum Grenzen gesetzt sind. Ein weiteres Werkzeug, das die trifinite-Crew jetzt zur Verfügung gestellt hat, erlaubt das "Blueprinting" -- die Identifizierung eines Mobiltelefon-Typs aus der Ferne anhand dessen Bluetooth-Schnittstelle. Theoretisch lassen sich damit auch die verletzbaren Handy-Modelle rascher aus einer größeren Nutzermenge herausfinden.

Als vorläufiges Resümee der Forschungsarbeiten trifinites hält Mitgründer Adam Laurie fest: "Bluetooth selbst scheint relativ sicher zu sein". Er kenne nur eine Schwachstelle zum Abhören eines wichtigen Schlüsselaustauschs, die sich aber nur mit einer teuren Ausrüstung in einem günstigen Moment bewerkstelligen lasse. Die Bluetooth-Implementierungen einzelner Handy-Hersteller hält Laurie dagegen für "überraschend locker". Mancher Mobiltelefonbauer habe wohl nicht damit gerechnet, dass ein Teil seiner Modelle schon in einem sehr frühen Stadium den Markt erreichen würde. (Stefan Krempl) / (pmz)