"BLURtooth" macht Milliarden Bluetooth-Geräte verwundbar
Die "BLURtooth"-Schwachstelle ermöglicht es einem Angreifer, auf Milliarden von Geräten Authentifizierungsschlüssel zu überschreiben und auf andere Dienste und Anwendungen zuzugreifen. Betroffen sind Geräte, welche die Versionen 4.2 bis 5.0 des Bluetooth-Standards verwenden.

Forscher der EPFL und der Purdue University haben eine schwerwiegende Schwachstelle im Bluetooth-Protokoll identifiziert, wie die Bluetooth Special Interest Group (SIG) mitteilt. Der Fehler liegt in der CTKD-Komponente (Cross-Transport Key Derivation). Diese wird für die Konfiguration von Authentifizierungsschlüsseln bei der Kopplung von zwei Bluetooth-Geräten genutzt. Die Schwachstelle ermöglicht es einem Angreifer, andere Authentifizierungsschlüssel zu überschreiben und so auf andere Bluetooth-bezogene Dienste und Anwendungen zuzugreifen.
Die als BLURtooth bekannte Schwachstelle betrifft die "Dual-Modus"-Paarung auf allen Geräten, welche die Versionen 4.2 bis 5.0 verwenden und sowohl mit den Standards Bluetooth Classic (BR/EDR) als auch Low Energy (BLE) kompatibel sind. Die Zahl der betroffenen Geräte ist schwer zu schätzen, dürfte aber im Milliardenbereich liegen.
Die Version Bluetooth 5.0 wurde ab Januar 2019 schrittweise ersetzt. Nach Angaben der Bluetooth SIG wurden 2018 mehr als 2 Milliarden Geräte verkauft, die sowohl mit dem Classic- als auch mit dem LE-Standard kompatibel sind. Ferner nimmt die Zahl der Bluetooth-fähigen Geräte jährlich weiter zu: Bis 2024 sollen nicht weniger als 6,2 Milliarden Einheiten verkauft worden sein.
Die Bluetooth-SIG empfiehlt den Herstellern, schnell Patches für BLURtooth zu liefern, oder die verwendete Bluetooth-Version auf eine neuere zu aktualisieren, die nicht von der Schwachstelle betroffen ist.

Wie Phisher in der Ferienzeit auf Fang gehen

Institutionelle Investoren und Krypto – wo stehen wir wirklich?

Achermann ICT-Services holt drei neue Fachkräfte an Bord

IT-Projekt des Bundes kostet dreimal mehr als geplant

Microsoft GSA – eine neue Ära für sicheren Zugriff auf Firmenressourcen

ICT Day und Roadshow 2025, Zürich

Graphax passt Führungsstruktur an und ernennt neue CEO

Digital vernetzt, ganzheitlich gesichert: Wie die BKB mit ADOGRC neue Standards in der Compliance setzt

Was den Schweizer Cyberraum bedroht
