Android: Neue Bluetooth-Sicherheitslücke BlueFrag aufgedeckt
Deutsche Sicherheitsexperten haben eine kritische Bluetooth-Sicherheitslücke in Android-Version 8.0 bis 9.0 aufgedeckt. Was Sie jetzt wissen müssen.
Das aktuelle Android-Sicherheitsupdate für Februar fixt die schwere Bluetooth-Sicherheitslücke BlueFrag, zu der nun von den Entdeckern jetzt erste Details veröffentlicht wurden. Kritisch betroffen sind Smartphones und Tablets mit Android 8.0 bis 9.0. Bei Geräten mit Android 10 führt die Bluetooth-Lücke nur zu Abstürzen. Zur Anfälligkeit älterer Android-Versionen liegen noch keine Informationen vor.
Datendiebstahl und Malware drohen
Entdeckt wurde die BlueFrag getaufte Schwachstelle (CVE-2020-0022) von Sicherheitsexperten von ERNW aus Heidelberg. Unter Android 8.0 bis 9.0 gelang es ihnen, bei aktiviertem Bluetooth unerkannt Zugriff auf betroffene Smartphones zu erlangen und auf Rechteebene des Bluetooth-Hintergrundprogramms beliebigen Code auszuführen.
Auf diese Weise könnten Angreifer etwa persönliche Daten entwenden oder Malware auf dem Gerät installieren.
Ein Angreifer muss für eine derartige Attacke lediglich in Bluetooth-Reichweite sein und die Bluetooth-MAC-Adresse des Zielgeräts wissen. Diese lässt sich jedoch laut den Sicherheitsforschern in bestimmten Fällen von der leichter zugänglichen WLAN-MAC-Adresse ableiten.
Bei Smartphones und Tablets mit Android 10 und höher können Angreifer keinen Remote-Code ausführen. Hier führt die Attacke lediglich zum Absturz des Bluetooth-Hintergrundprogramms. Zu Android vor Version 8 gibt es noch keine Auskunft über mögliche Risiken, potenziell sind diese Versionen jedoch auch betroffen.
Wie Sie sich gegen BlueFrag schützen können
Als Schutz vor der Sicherheitslücke empfiehlt ERNW dringend, die aktuellen Android-Sicherheitsupdates vom Februar 2020 zu installieren. Hier hängt es jedoch stark vom Hersteller ab, ob und wann diese Updates bereitgestellt werden.
Für Geräte, die bisher kein Sicherheitsupdate erhalten haben oder erhalten werden, empfiehlt ERNW, die Bluetooth-Nutzung auf die dringendsten Fälle zu beschränken. Zudem sollten die Geräte in den Bluetooth-Einstellungen nicht dauerhaft auf "sichtbar" geschaltet sein. Soweit möglich sollten Bluetooth-Kopfhörer im öffentlichen Raum mit Kabel genutzt werden.
Nähere Details zu der BlueFrag-Sicherheitslücke haben die Sicherheitsexperten bisher nicht veröffentlicht. An Google gemeldet wurde die Schwachstelle im November 2019. Eine genaue Beschreibung des Exploits sowie ein Proof of Concept sollen folgen, sobald die Sicherheitsupdates an Nutzer ausgerollt wurden.
10.2.2020 von Manuel Medicus
Quelle: Android: Neue Bluetooth-Sicherheitslücke BlueFrag aufgedeckt - connect