Nieuw beveiligingslek bluetooth ‘BlueBorne’

Herman van de BijlYour ICT

Een nieuwe beveiligingslek in Bluetooth maakt ruim 5 miljard apparaten wereldwijd kwetsbaar voor cyberaanvallen. Het lek wordt BlueBorne genoemd en kan worden ingezet om de controle over aangevallen apparaten volledig over te nemen.

blueborne bluetooth hackHet lek is ontdekt door beveiligingsbedrijf Armis. De onderzoekers hebben in totaal acht zero-day kwetsbaarheden ontdekt in de Bluetooth-implementaties van Android, iOS, Windows en Linux. Vier van deze kwetsbaarheden zijn als kritiek aangemerkt. Met behulp van BlueBorn kunnen uiteenlopende aanvallen worden uitgevoerd, waaronder het op afstand uitvoeren van code en Man-in-the-Middle aanvallen.

Pairen is niet noodzakelijk

Opvallend is dat een apparaat niet gepaired hoeft te zijn met het apparaat van een aanvaller om aangevallen te worden, terwijl het ook niet in de ‘discoverable mode’ hoeft te staan. Wel is het noodzakelijk Bluetooth ingeschakeld te hebben. Dit is mogelijk doordat Bluetooth continu zoekt naar andere apparaten, ook als de ‘discoverable mode’ niet ingeschakeld is. Dit stelt de aanvaller in staat het MAC-adres van een apparaat te achterhalen.

Met behulp van dit adres kan de aanvaller een specifiek apparaat aanspreken om zo te achterhalen op welk besturingssysteem het apparaat draait. Door vervolgens de specifieke kwetsbaarheid in de Bluetooth-implementatie op dit platform te misbruiken kan de aanvaller toegang verkrijgen tot het apparaat. Een aanval kan in ongeveer 10 seconden worden uitgevoerd, zonder dat hierbij interactie van het slachtoffer nodig is.

Android, Linux, Windows en iOS zijn kwetsbaar

Alle versies van Android, Linux en Windows zijn kwetsbaar, terwijl iOS tot versie 10 aangevallen kan worden via BlueBorne. Dit betekent volgens de onderzoekers in de praktijk dat nagenoeg iedere computer, mobiel apparaat, smart TV of andere Internet of Things-apparaat die op één van deze besturingssysteem draait aangevallen kan worden via tenminste één van de acht ontdekte kwetsbaarheden. Dit is volgens de onderzoekers een fors deel van alle ‘connected’ apparaten wereldwijd.

Het lek is in iOS 10 dus al verholpen, terwijl voor Android op 4 septenber een update is verschenen. Microsoft stelt vandaag nog updates voor Windows beschikbaar. Updates voor Linux moeten op korte termijn beschikbaar worden gesteld. Indien voor een apparaat geen update beschikbaar is, doen gebruikers er verstandig aan Bluetooth uit te schakelen tot de kwetsbaarheid is gedicht.

Bron: infosecuritymagazine.nl