CVE-2018-5383

Neue Bluetooth-Lücke gefährdet Millionen Geräte - jetzt Updates einspielen

Sicherheitsforscher haben eine Schwachstelle im Bluetooth-Protokoll entdeckt, die zahlreiche Chips von Apple, Broadcom, Intel und Qualcomm betrifft. Erste Fixes gegen den Hack sind bereits live.

bluetooth luecke update

© Bluetooth SIG / Montage: connect

Im Bluetooth-Protokoll, dass von zahlreichen technischen Geräten eingesetzt wird, wurde erneut eine Sicherheitslücke entdeckt.

Im Jahr 2017 machte die BlueBorne-Sicherheitslücke die Runde - nun gerät das Bluetooth-Protokoll erneut aufgrund einer Schwachstelle in den Fokus. Entdeckt wurde die Lücke von Forschern des Technion, der Technischen Universität Israels. Demzufolge sind offenbar Millionen von technischen Geräten und Chips betroffen - darunter auch Modelle von großen Herstellern wie Apple, Broadcom, Intel und Qualcomm.

Die neue Bluetooth-Lücke CVE-2018-5383 betrifft zwei Features des Drahtlos-Protokolls: Secure Simple Pairing sowie LE Secure Connections. Wie das CERT im Report zur Sicherheitslücke erklärt, setzt das Bluetooth-Protokoll bei diesen beiden Verbindungen auf Verschlüsselung mithilfe von Diffie-Hellman-Schlüsselaustausch (ECDH). Hierbei werden bisher jedoch verschiedene ECDH-Parameter nicht ausreichend validiert, bevor ein gemeinsamer Schlüssel vereinbart wird. Dadurch sei die Verschlüsselung angreifbar für Man-in-the-Middle-Attacken. Für diese müsste der Angreifer jedoch in Bluetooth-Reichweite zum Opfer sein, während das Opfer eine dieser Verbindungen aufbaut.

Treiber-Updates schließen Lücke

Die Bluetooth SIG, die Standadisierungsorganisation hinter Bluetooth, hat bereits reagiert und die Spezifikationen für das Bluetooth-Protokoll aktualisiert. Zudem haben verschiedene Hersteller bereits Firmware- und Treiber-Updates veröffentlicht oder angekündigt. So hat Apple etwa die Lücke bereits am 9. Juli mit den Sicherheitsupdates auf iOS 11.4, watchOS 4.3.1, tvOS 11.4 sowie macOS 10.13.5 High Sierra gefixt. Auch Intel hat laut seinem Report INTEL-SA-00128 bereits Updates bereitgestellt.

Von Broadcom und Qualcomm liegen laut CERT noch keine Updates vor. Microsoft ist laut CERT nicht betroffen. Unklar ist noch der Gefährdungsstatus für Android und Linux sowie andere große Hardwarehersteller. Hier dürften in Kürze weitere Stellungnahmen von Google, Samsung und Co. folgen. 

Mehr lesen

Bluetooth Logo
Bluetooth-Schwachstelle

Erste Samsung-Smartphones sollen einen Patch erhalten haben, der die Bluetooth-Schwachstelle namens BlueBorne schließt. Gehört Ihr Gerät dazu?

Mehr zum Thema

Screenshot: Apple iOS 9 Preview
Quellcode-Leak

Ein Teil des Quellcodes von iOS 9 ist ins Netz gelangt. Ernstzunehmende Sicherheitslücke für iPhone und Co.? Was sagt Apple zum Leak?
Apple iPhone 8 (Plus) Rückkamera
Unsichere iOS-Apps

Bestimmte Werbeanzeigen in iOS-Apps fordern Nutzer auf, Konfigurationsprofile zu installieren. Warum das Risiken bergen kann, erfahren Sie hier.
Apple iPhone X
Datenschutz

Siri liest private Nachrichten aus WhatsApp und dem Facebook-Messenger vor, selbst wenn das Gerät gesperrt ist. Schuld ist wohl ein iOS-Bug.
Apple iPhone X
Sicherheitslücke in iOS

Wer einen Computer am iPhone als vertrauenswürdig einstuft, bietet Hackern Angriffsfläche. Diese können Daten sogar ohne Kabelverbindung auslesen.
Apple iPhone X
iPhone 2018 mit langsamerem Modem

Apple wird beim iPhone auf LTE-Modems von Qualcomm verzichten. Dem Ende der Partnerschaft war ein Rechtsstreit der Unternehmen vorausgegangen.
Alle Testberichte
Luxman PD-171A
Die neue A-Klasse im Testlabor
Luxman hat seinen Plattenspieler PD-171 zum PD-171A erhöht. Ob Luxman klanglich überzeugen kann, haben wir getestet.
Trekstor Primebook
Ultrabook im Testlabor
69,6%
Trekstors Primebook P14 kann optisch und haptisch fast mit der mobilen Oberklasse mithalten. Wie es unter der Haube…
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.