Android Versionen 8.0 bis 9.0 betroffen

Android: Neue Bluetooth-Sicherheitslücke BlueFrag aufgedeckt

Deutsche Sicherheitsexperten haben eine kritische Bluetooth-Sicherheitslücke in Android-Version 8.0 bis 9.0 aufgedeckt. Was Sie jetzt wissen müssen.

© Bluetooth SIG / Montage: connect

Auf Android-Smartphones mit Version 8 bis 9 wurde eine kritische Bluetooth -Sicherheitslücke aufgedeckt.

Das aktuelle Android-Sicherheitsupdate für Februar fixt die schwere Bluetooth-Sicherheitslücke BlueFrag, zu der nun von den Entdeckern jetzt erste Details veröffentlicht wurden. Kritisch betroffen sind Smartphones und Tablets mit Android 8.0 bis 9.0. Bei Geräten mit Android 10 führt die Bluetooth-Lücke nur zu Abstürzen. Zur Anfälligkeit älterer Android-Versionen liegen noch keine Informationen vor.

Datendiebstahl und Malware drohen

Entdeckt wurde die BlueFrag getaufte Schwachstelle (CVE-2020-0022) von Sicherheitsexperten von ERNW aus Heidelberg. Unter Android 8.0 bis 9.0 gelang es ihnen, bei aktiviertem Bluetooth unerkannt Zugriff auf betroffene Smartphones zu erlangen und auf Rechteebene des Bluetooth-Hintergrundprogramms beliebigen Code auszuführen.

Auf diese Weise könnten Angreifer etwa persönliche Daten entwenden oder Malware auf dem Gerät installieren.

Ein Angreifer muss für eine derartige Attacke lediglich in Bluetooth-Reichweite sein und die Bluetooth-MAC-Adresse des Zielgeräts wissen. Diese lässt sich jedoch laut den Sicherheitsforschern in bestimmten Fällen von der leichter zugänglichen WLAN-MAC-Adresse ableiten.

Bei Smartphones und Tablets mit Android 10 und höher können Angreifer keinen Remote-Code ausführen. Hier führt die Attacke lediglich zum Absturz des Bluetooth-Hintergrundprogramms. Zu Android vor Version 8 gibt es noch keine Auskunft über mögliche Risiken, potenziell sind diese Versionen jedoch auch betroffen.

Wie Sie sich gegen BlueFrag schützen können

Als Schutz vor der Sicherheitslücke empfiehlt ERNW dringend, die aktuellen Android-Sicherheitsupdates vom Februar 2020 zu installieren. Hier hängt es jedoch stark vom Hersteller ab, ob und wann diese Updates bereitgestellt werden.

Für Geräte, die bisher kein Sicherheitsupdate erhalten haben oder erhalten werden, empfiehlt ERNW, die Bluetooth-Nutzung auf die dringendsten Fälle zu beschränken. Zudem sollten die Geräte in den Bluetooth-Einstellungen nicht dauerhaft auf "sichtbar" geschaltet sein. Soweit möglich sollten  Bluetooth-Kopfhörer im öffentlichen Raum mit Kabel genutzt werden.

Nähere Details zu der BlueFrag-Sicherheitslücke haben die Sicherheitsexperten bisher nicht veröffentlicht. An Google gemeldet wurde die Schwachstelle im November 2019. Eine genaue Beschreibung des Exploits sowie ein Proof of Concept sollen folgen, sobald die Sicherheitsupdates an Nutzer ausgerollt wurden.

Mehr lesen

20 Jahre Kurzstrecken-Funktechnik

Der Bluetooth-Standard feiert in diesem Jahr 20. Geburtstag. Wir erzählen seine Geschichte – und zeigen, wie’s mit der kabellosen Technik weitergeht.

Mehr zum Thema

Sicherheitsexperten warnen

Droht auf Android-Smartphones neue Gefahr durch Ransomware? Experten warnen aktuell vor einer angepassten Version der "Black Rose Lucy"-Malware.
Support wird reduziert

Schluss mit monatlichen Sicherheitsupdates: Samsung passt beim Galaxy S8 und S8+ drei Jahre nach Release die Update-Versorgung an. Wie es weitergeht.
Versteckte Android-Malware

Die Malware Mandrake kann Android-Smartphones komplett übernehmen und Daten auslesen. Seit Jahren ist sie in Apps im Google Play Store versteckt.
Unerkannte Angriffe möglich

Eine Sicherheitslücke im Bluetooth-Protokoll betrifft fast alle Geräte wie Smartphones, Tablets, Notebooks und Zubehör. Das steckt dahinter.
Android-Malware

Über eine Sicherheitslücke in Android kann sich Malware als legitime App ausgeben und Daten abgreifen, ohne dass der Nutzer etwas merkt.