Mobile Security - Bluetooth auf den Sicherheitskonferenzen 2016, Teil 2
Die Sicherheit von Bluetooth war auch immer wieder Thema auf den Sicherheitskonferenzen. Nicht jedes Jahr, nicht auf jeder Konferenz, aber immer mal wieder. Der Einfachheit halber gehe ich diese Vorträge nun in zeitlicher Reihenfolge durch, dieses Mal ist immer noch das Jahr 2016 an der Reihe, und auch die Konferenz ist weiterhin die
DEF CON 24
Wenn sich die Bluetooth-Geräte so leicht erkennen lassen wie in der vorherigen Folge gezeigt wurde wirft das außer der Frage nach möglichen Angriffen auch noch mindestens eine weitere auf: Wie sieht es denn mit der Privatsphäre aus? Und darum geht es in der nächsten Folge als erstes.
Wie sieht es denn mit der Privatsphäre aus?
Denn manchmal reicht es schon, dass das Vorhandensein eines Bluetooth-fähigen Geräts bekannt ist, um unangenehme Folgen fürchten zu müssen. Z.B. wenn es sich um einen über Bluetooth gesteuerten Vibrator handelt und der Besitzer sich an einem Ort aufhält, an dem der Besitz so eines Spielzeugs verboten ist. Und so Orte gibt es auch in den USA.
Auf dieses Problem haben follower und goldfisk auf der DEF CON 24 hingewiesen: "Breaking the Internet of Vibrating Things : What We Learned Reverse Engineering Bluetooth- and Internet-Enabled Adult Toys" (Website "Private Play Accord", Präsentation als PDF, Video auf YouTube).
Die beiden haben so einen Vibrator aus Sicherheitssicht unter die Lupe genommen und dabei auch auf das Problem mit dem Schutz der Privatsphäre hingewiesen. Denn die Geräte verraten nicht nur ihr Vorhandensein, sondern auch noch weitere Informationen über die Nutzung.
Und es gibt ja noch mehr Geräte, deren Vorhandensein man nicht unbedingt gleich allgemein bekannt machen möchte. Sogar so etwas Harmloses und Unverfängliches wie ein Smartphone muss nicht unbedingt überall erkannt werden. Denn darüber lässt sich der Besitzer beobachten. Wenn man damit z.B. durch ein Einkaufszentrum läuft, lässt sich problemlos ein Bewegungsprofil erstellen: Wo war der Besucher überall, wie lange ist er vor welchem Schaufenster stehen geblieben, usw. usf. ... . Wenn der Besucher dann noch irgendwo mit Kredit- oder Bankkarte zahlt kann er sogar identifiziert werden, wenn Point of Sale und Tracker zusammenarbeiten.
Dass dieses Problem real ist zeigen die USA, wo Bluetooth bereits 2014 für die Verkehrsüberwachung genutzt wurde: "Detecting Bluetooth Surveillance Systems" (Präsentation als PDF, aktualisierte Präsentation als PDF, Video auf YouTube). So weit in der Vergangenheit sind wir noch nicht, aber da dieser Vortrag hier so gut passt mache ich bei der Reihenfolge mal eine Ausnahme.
Black Hat USA 2016
Die nächste Konferenz ist die Black Hat USA 2016, auf der der schon erwähnte Slawomir Jasek ein weiteres neues Bluetooth-Tool vorgestellt hat: "GATTacking Bluetooth Smart Devices - Introducing a New BLE Proxy Tool" (Video auf YouTube, Tool auf GitHub, Website GATTack.io). GATTacker ist ein Node.js-Package für MitM-Angriffe auf BLE.
In der Theorie sind BLE-Verbindungen durch Pairing und einer Verschlüsselung auf dem Link-Layer geschützt. In der Praxis wird oft auf diesen Schutz verzichtet, und das macht MitM-Angriffe möglich. Für die z.B. GATTacker verwendet werden kann.
Dies war auch der letzte Vortrag aus dem Jahr 2016. In der nächsten Folge geht es mit den Vorträgen rund um Bluetooth auf den Sicherheitskonferenzen im Jahr 2015 weiter.
Trackbacks