Bluetooth-Lücke: Tastenanschläge in Android, Linux, iOS und macOS einschleusbar
Eine Sicherheitslücke in Bluetooth-Stacks erlaubt Angreifern, Tastenanschläge einzuschmuggeln. Unter Android, iOS, Linux und macOS.
(Bild: DestroLove/Shutterstock.com)
Angreifer können in mehreren Bluetooth-Stack-Implementierungen die Authentifizierung umgehen und Tastenanschläge einschleusen. Dies gelingt ohne Bestätigung durch Nutzer, die Ziel-Hosts müssten sich teils nicht einmal im Discover-Modus erkennbar geben.
IT-Sicherheitsforscher Marc Newlin erläutert, dass sich Angreifer in der Nähe durch die Lücke ohne Bluetooth-Authentifizierung mit verwundbaren Geräten verbinden und Tastenanschläge übertragen können. Damit können sie etwa Apps installieren, beliebige Befehle ausführen, Nachrichten weiterleiten und so weiter, erklärt der Entdecker der Lücke in seiner Schwachstellenbeschreibung (CVE-2023-45866, kein offizieller CVSS-Wert, keine offizielle Risikoeinstufung; das BSI gibt beim CERT-Bund einen CVSS-Score von 8.8, Risiko "hoch" an).
Bluetooth-Lücke ein Design-Fehler?
Er habe Bluetooth, iOS und macOS genauer unter die Lupe nehmen wollen und sei dabei schnell auf Lücken in diesen Systemen gestoßen, durch die er ohne Authentifizierung Tastenanschläge einschleusen konnte – auch im Lockdown-Modus der Geräte. Als er gleichartige Schwachstellen auch unter Android und Linux gefunden hat, keimte der Verdacht, es könne weniger ein Implementierungsfehler, als viel mehr ein Protokollfehler sein. Nach der Lektüre der Bluetooth-HID-Spezifikation kam Newlin zu dem Schluss, dass es ein wenig von beidem sei.
Genaue Informationen zu der Lücke gibt Newlin bislang nicht preis, diese will er auf einer Sicherheitskonferenz präsentieren. Sie funktioniere jedoch so, dass die Bluetooth Host-State-Machine zum Pairing mit einer gefälschten Tastatur ohne Benutzerinteraktion getrickst werde. Die Bluetooth-Spezifikation enthalte den darunterliegenden unauthentifiziertes-Pairing-Mechanismus. Fehler in der jeweiligen Implementierung machen ihn für Angreifer zugänglich. Um verwundbar zu sein, müssen Android-Geräte lediglich Bluetooth aktiviert haben. Linux-Geräte mit BlueZ-Stack sind dann anfällig, wenn Bluetooth sichtbar ist und Verbindungen annimmt. iOS und macOS müssen hingegen Bluetooth aktiviert haben und ein Magic Keyboard mit dem System gepaart worden sein.
Missbrauchen können Angreifer die Schwachstelle mit einem Linux-Rechner mit Standard-Bluetooth-Dongle. Nach dem Pairing der Angreifer-Maschine können bösartige Aktuere Tastenanschläge zum Ausführen beliebiger Aktionen an der Stelle des Opfers ausführen. Voraussetzung: Diese Aktionen benötigen keine Passwort-Eingabe oder biometrische Authentifizierung.
Alter Bekannter
Das Security-Patch-Level 2023-12-05 behebt die Lücke in Android 11 bis 14. Ältere Android-Versionen – die Schwachstelle reicht bis zu Android 4.2.2 aus 2012 zurück – erhalten keine Aktualisierung. In Linux war die Lücke bereits länger bekannt und wurde 2020 abgedichtet (CVE-2020-0556, CVSS 7.1, Risiko "hoch"). Newlin führt aus, dass der Fix standardmäßig deaktiviert blieb. Zwar hätten etwa die Distributionen Alpine, Arch, Debian, Fedora, Gentoo und Ubuntu die Korrektur übernommen. Aber erst der BlueZ-Patch zu CVE-2023-45866 aktiviert die Fehlerkorrektur aus 2020 darin auch. Apple behebt die Schwachstelle unter anderem in iOS 17.2 und macOS 14.2.
Marc Newlin hat bereits 2016 die als "MouseJack" bekannten Schwachstellen in Tastaturen und Mäusen, die nicht mit Bluetooth, sondern proprietären Protokollen arbeiten, entdeckt. Die Schwachstellen betrafen Geräte, die die populären nRF24L-Transceiver von Nordic Semiconductor zur Übertragung nutzten, mit jeweils eigenen Umsetzungen.
Die mittlerweile erschienenen macOS- und iOS-Updates beheben den Sicherheitsfehler. Wir haben die entsprechende Textstelle abgeändert.
(dmk)
