Skip to content

Mobile Security - Bluetooth auf den Sicherheitskonferenzen 2016, Teil 1

Die Vorstellung der Vorträge zu Bluetooth auf den Sicherheitskonferenzen geht weiter, nach den Vorträgen aus 2017 sind nun die aus dem Jahr 2016 an der Reihe. Auch diesmal sind darunter einige der Vorträge, die im Artikel im Entwickler Magazin 4.18 nur am Rande erwähnt wurden.

33c3

Im Dezember 2016 fand der 33c3 statt, und von dem stammt der nächste Vortrag. "Ray" hat das Knacken von elektronischen Schlössern mit BLE demonstriert: "Lockpicking in the IoT ...or why adding BTLE to a device sometimes isn't smart at all" (Medien).

Die Schwachstellen, die Rey vorgestellt hat, wurden zum Teil von Slawomir Jasek in seinem HitB-Lab auf der Hack in the Box Amsterdam 2017 in der Praxis demonstriert.

Wie wohl leider üblich nutzen die Schlösser zum Teil die BLE-Sicherheitsfunktionen nicht oder enthalten Implementierungsfehler. Bluetooth bzw. speziell Bluetooth Low Energy ist hier zwar das Einfallstor, aber nicht die Ursache der Schwachstellen. Eher im Gegenteil, soweit es die Nicht-Nutzung der BLE-Sicherheitsfunktionen betrifft. Mit denen wäre ein Teil der Angriffe nicht möglich.

DEF CON 24

Wir bleiben beim Thema, kommen aber zur nächsten Konferenz, der DEF CON 24. Auf der haben Anthony Rose und Ben Ramsey Angriffe über BLE auf elektronische Schlösser vorgeführt: "Picking Bluetooth Low Energy Locks from a Quarter Mile Away" (Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube, Tools auf GitHub).

Unsichere Schlösser hatten wir nun ja schon des Öfteren. Aber Anthony Rose und Ben Ramsey haben gezeigt, dass die Reichweite durchaus auch größer sein kann als die 10 Meter, für die BLE eigentlich gedacht ist. Alles, was sie brauchten, waren:

  • Das Bluetooth Test-Tool Ubertooth One (ca. 100$),
  • ein Bluetooth Smart USB Dongle (ca. 15$),
  • ein Raspberry Pi (ca. 40$) und
  • eine Richtantenne (ca. 50 US$).

Mit dieser Ausrüstung haben sie dann ein bisschen Wardriving betrieben, nur nicht wie üblich im WLAN- sondern im BLE-Bereich. Und dabei bei einer Reichweite von mehr als einer Viertel Meile u.a. über BLE gesteuerte Schlösser erfasst. Einige davon weisen bekannte Schwachstellen auf, in anderen haben Anthony Rose und Ben Ramsey neue gefunden.

Bei der Suche nach Schwachstellen haben die beiden zunächst die BLE-Kommunikation belauscht. Das muss auf allen 3 "Advertisement"-Kanälen (37, 38, 39) gleichzeitig passieren, weshalb sie dafür 3 Ubertooth One verwendeten, einen pro Kanal. Die für die Untersuchungen verwendete Software wurde auf GitHub veröffentlicht.

Die Schwachstellen der Schlösser reichen von Klartext-Passwörtern (wer die belauscht, kann das Schloss später damit öffnen) über die Anfälligkeit für Replay-Angriffe (ein aufgezeichneter Befehl zum Öffnen kann jederzeit wieder eingespielt werden) zu einfachen mechanischen Schwachstellen (so dass unter Umständen z.B. ein Schraubenzieher reicht, um "aufzuschließen"). Und auch die Smartphone-Apps zur Bedienung der Schlösser enthielten verschiedene Schwachstellen. Aber diese Schwachstellen haben alle nichts mit Bluetooth selbst zu tun und sind hier nicht weiter relevant. Wichtig ist die Feststellung, dass man Angriffe über Bluetooth mit der passenden Ausrüstung auch über deutlich größere Entfernung als eigentlich vorgesehen durchführen kann.

Bluetooth-Devices in Echtzeit erkennen

Ebenfalls auf der DEF CON 24 haben Zero_Chaos und Granolock ein neues Tool zur Echtzeit-Erkennung von Bluetooth-Devices vorgestellt: "Realtime Bluetooth Device Detection with Blue Hydra" (Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube, Tool auf GitHub). Das Tool erkennt Bluetooth- und Bluetooth-LE-Geräte in der Umgebung, unabhängig davon, ob die sich im "Discoverable"-Modus befinden oder nicht, und sammelt sowohl Daten wie Bluetooth-Version, vorhandene Dienste etc. als auch Meta-Daten wie Signalstärke und Zeitstempel.

Blue Hydra benötigt Linux.

Wenn sich die Bluetooth-Geräte so leicht erkennen lassen wirft das außer der Frage nach möglichen Angriffen auch noch mindestens eine weitere auf: Wie sieht es denn mit der Privatsphäre aus? Und darum geht es in der nächsten Folge als erstes.

Carsten Eilers

>
        </div>
                
        <footer class= Kategorien: Grundlagen

Trackbacks

Dipl.-Inform. Carsten Eilers am : Mobile Security - Bluetooth auf den Sicherheitskonferenzen 2016, Teil 2

Vorschau anzeigen
Die Sicherheit von Bluetooth war auch immer wieder Thema auf den Sicherheitskonferenzen. Nicht jedes Jahr, nicht auf jeder Konferenz, aber immer mal wieder. Der Einfachheit halber gehe ich diese Vorträge nun in zeitlicher Reihenfolge durch, dies