Android Versionen 8.0 bis 9.0 betroffen

Android: Neue Bluetooth-Sicherheitslücke BlueFrag aufgedeckt

Deutsche Sicherheitsexperten haben eine kritische Bluetooth-Sicherheitslücke in Android-Version 8.0 bis 9.0 aufgedeckt. Was Sie jetzt wissen müssen.

© Bluetooth SIG / Montage: connect

Auf Android-Smartphones mit Version 8 bis 9 wurde eine kritische Bluetooth -Sicherheitslücke aufgedeckt.

Das aktuelle Android-Sicherheitsupdate für Februar fixt die schwere Bluetooth-Sicherheitslücke BlueFrag, zu der nun von den Entdeckern jetzt erste Details veröffentlicht wurden. Kritisch betroffen sind Smartphones und Tablets mit Android 8.0 bis 9.0. Bei Geräten mit Android 10 führt die Bluetooth-Lücke nur zu Abstürzen. Zur Anfälligkeit älterer Android-Versionen liegen noch keine Informationen vor.

Datendiebstahl und Malware drohen

Entdeckt wurde die BlueFrag getaufte Schwachstelle (CVE-2020-0022) von Sicherheitsexperten von ERNW aus Heidelberg. Unter Android 8.0 bis 9.0 gelang es ihnen, bei aktiviertem Bluetooth unerkannt Zugriff auf betroffene Smartphones zu erlangen und auf Rechteebene des Bluetooth-Hintergrundprogramms beliebigen Code auszuführen.

Auf diese Weise könnten Angreifer etwa persönliche Daten entwenden oder Malware auf dem Gerät installieren.

Ein Angreifer muss für eine derartige Attacke lediglich in Bluetooth-Reichweite sein und die Bluetooth-MAC-Adresse des Zielgeräts wissen. Diese lässt sich jedoch laut den Sicherheitsforschern in bestimmten Fällen von der leichter zugänglichen WLAN-MAC-Adresse ableiten.

Bei Smartphones und Tablets mit Android 10 und höher können Angreifer keinen Remote-Code ausführen. Hier führt die Attacke lediglich zum Absturz des Bluetooth-Hintergrundprogramms. Zu Android vor Version 8 gibt es noch keine Auskunft über mögliche Risiken, potenziell sind diese Versionen jedoch auch betroffen.

Wie Sie sich gegen BlueFrag schützen können

Als Schutz vor der Sicherheitslücke empfiehlt ERNW dringend, die aktuellen Android-Sicherheitsupdates vom Februar 2020 zu installieren. Hier hängt es jedoch stark vom Hersteller ab, ob und wann diese Updates bereitgestellt werden.

Für Geräte, die bisher kein Sicherheitsupdate erhalten haben oder erhalten werden, empfiehlt ERNW, die Bluetooth-Nutzung auf die dringendsten Fälle zu beschränken. Zudem sollten die Geräte in den Bluetooth-Einstellungen nicht dauerhaft auf "sichtbar" geschaltet sein. Soweit möglich sollten  Bluetooth-Kopfhörer im öffentlichen Raum mit Kabel genutzt werden.

Nähere Details zu der BlueFrag-Sicherheitslücke haben die Sicherheitsexperten bisher nicht veröffentlicht. An Google gemeldet wurde die Schwachstelle im November 2019. Eine genaue Beschreibung des Exploits sowie ein Proof of Concept sollen folgen, sobald die Sicherheitsupdates an Nutzer ausgerollt wurden.

Mehr lesen

20 Jahre Kurzstrecken-Funktechnik

Der Bluetooth-Standard feiert in diesem Jahr 20. Geburtstag. Wir erzählen seine Geschichte – und zeigen, wie’s mit der kabellosen Technik weitergeht.

Mehr zum Thema

Play-Store-Alternative geplant?

Die Firmen Xiaomi, Huawei, Oppo und Vivo aus China planen eine Plattform, mit der Android-Apps ohne Play Store einfacher auf ihre Geräte finden.
Sicherheitspatch und Kamera-Features

Bevor das Galaxy S20 in Deutschland auf den Markt kommt, erhält es bereits sein erstes Software-Update. Diese Verbesserungen bringt der Patch.
Datensammlung statt Tracking-Schutz

Wer eine VPN- oder Werbeblocker-App nutzt, will sich in der Regel vor ungewolltem Tracking schützen. Doch diese Apps sammeln heimlich Nutzerdaten.
Apps aus Play Store entfernt

Erneut hat Google viele Apps mit Schadcode aus dem Play Store entfernt. Darunter sind auch Spiele-Apps, die sich an Kinder richten.
Studie

Viele Android-Apps tracken, welche anderen Apps auf dem Smartphone installiert sind. Die Informationen werden oft für Werbung genutzt.