Android Versionen 8.0 bis 9.0 betroffen

Android: Neue Bluetooth-Sicherheitslücke BlueFrag aufgedeckt

Deutsche Sicherheitsexperten haben eine kritische Bluetooth-Sicherheitslücke in Android-Version 8.0 bis 9.0 aufgedeckt. Was Sie jetzt wissen müssen.

© Bluetooth SIG / Montage: connect

Auf Android-Smartphones mit Version 8 bis 9 wurde eine kritische Bluetooth -Sicherheitslücke aufgedeckt.

Das aktuelle Android-Sicherheitsupdate für Februar fixt die schwere Bluetooth-Sicherheitslücke BlueFrag, zu der nun von den Entdeckern jetzt erste Details veröffentlicht wurden. Kritisch betroffen sind Smartphones und Tablets mit Android 8.0 bis 9.0. Bei Geräten mit Android 10 führt die Bluetooth-Lücke nur zu Abstürzen. Zur Anfälligkeit älterer Android-Versionen liegen noch keine Informationen vor.

Datendiebstahl und Malware drohen

Entdeckt wurde die BlueFrag getaufte Schwachstelle (CVE-2020-0022) von Sicherheitsexperten von ERNW aus Heidelberg. Unter Android 8.0 bis 9.0 gelang es ihnen, bei aktiviertem Bluetooth unerkannt Zugriff auf betroffene Smartphones zu erlangen und auf Rechteebene des Bluetooth-Hintergrundprogramms beliebigen Code auszuführen.

Auf diese Weise könnten Angreifer etwa persönliche Daten entwenden oder Malware auf dem Gerät installieren.

Ein Angreifer muss für eine derartige Attacke lediglich in Bluetooth-Reichweite sein und die Bluetooth-MAC-Adresse des Zielgeräts wissen. Diese lässt sich jedoch laut den Sicherheitsforschern in bestimmten Fällen von der leichter zugänglichen WLAN-MAC-Adresse ableiten.

Bei Smartphones und Tablets mit Android 10 und höher können Angreifer keinen Remote-Code ausführen. Hier führt die Attacke lediglich zum Absturz des Bluetooth-Hintergrundprogramms. Zu Android vor Version 8 gibt es noch keine Auskunft über mögliche Risiken, potenziell sind diese Versionen jedoch auch betroffen.

Wie Sie sich gegen BlueFrag schützen können

Als Schutz vor der Sicherheitslücke empfiehlt ERNW dringend, die aktuellen Android-Sicherheitsupdates vom Februar 2020 zu installieren. Hier hängt es jedoch stark vom Hersteller ab, ob und wann diese Updates bereitgestellt werden.

Für Geräte, die bisher kein Sicherheitsupdate erhalten haben oder erhalten werden, empfiehlt ERNW, die Bluetooth-Nutzung auf die dringendsten Fälle zu beschränken. Zudem sollten die Geräte in den Bluetooth-Einstellungen nicht dauerhaft auf "sichtbar" geschaltet sein. Soweit möglich sollten  Bluetooth-Kopfhörer im öffentlichen Raum mit Kabel genutzt werden.

Nähere Details zu der BlueFrag-Sicherheitslücke haben die Sicherheitsexperten bisher nicht veröffentlicht. An Google gemeldet wurde die Schwachstelle im November 2019. Eine genaue Beschreibung des Exploits sowie ein Proof of Concept sollen folgen, sobald die Sicherheitsupdates an Nutzer ausgerollt wurden.

Mehr lesen

20 Jahre Kurzstrecken-Funktechnik

Der Bluetooth-Standard feiert in diesem Jahr 20. Geburtstag. Wir erzählen seine Geschichte – und zeigen, wie’s mit der kabellosen Technik weitergeht.

Mehr zum Thema

Nach über 100 Millionen Downloads

Sicherheitsforscher schlugen Alarm: Die Android-App CamScanner mit über 100 Millionen Downloads war Malware-verseucht. Nun ist die App zurück.
Galaxy S8, S9, Huawei P20 und mehr betroffen

Mindestens 18 Android-Smartphones sind über eine Zero-Day-Sicherheitslücke angreifbar. Der Exploit wird bereits aktiv genutzt. Ein Bugfix ist geplant.
Sicherheit im Messenger

Um die Messenger-App sicherer zu machen, führt WhatsApp das von der iOS-Version bekannte Feature nun auch für Android-Nutzer ein.
Joker-Malware

Google hat nach eigenen Angaben bislang mehr als 1.700 Apps mit der Joker- oder Bread-Malware aus dem Play Store gelöscht. Die Malware ist auf…
Play-Store-Alternative geplant?

Die Firmen Xiaomi, Huawei, Oppo und Vivo aus China planen eine Plattform, mit der Android-Apps ohne Play Store einfacher auf ihre Geräte finden.