CVE-2018-5383

Neue Bluetooth-Lücke gefährdet Millionen Geräte - jetzt Updates einspielen

Sicherheitsforscher haben eine Schwachstelle im Bluetooth-Protokoll entdeckt, die zahlreiche Chips von Apple, Broadcom, Intel und Qualcomm betrifft. Erste Fixes gegen den Hack sind bereits live.

bluetooth luecke update

© Bluetooth SIG / Montage: connect

Im Bluetooth-Protokoll, dass von zahlreichen technischen Geräten eingesetzt wird, wurde erneut eine Sicherheitslücke entdeckt.

Im Jahr 2017 machte die BlueBorne-Sicherheitslücke die Runde - nun gerät das Bluetooth-Protokoll erneut aufgrund einer Schwachstelle in den Fokus. Entdeckt wurde die Lücke von Forschern des Technion, der Technischen Universität Israels. Demzufolge sind offenbar Millionen von technischen Geräten und Chips betroffen - darunter auch Modelle von großen Herstellern wie Apple, Broadcom, Intel und Qualcomm.

Die neue Bluetooth-Lücke CVE-2018-5383 betrifft zwei Features des Drahtlos-Protokolls: Secure Simple Pairing sowie LE Secure Connections. Wie das CERT im Report zur Sicherheitslücke erklärt, setzt das Bluetooth-Protokoll bei diesen beiden Verbindungen auf Verschlüsselung mithilfe von Diffie-Hellman-Schlüsselaustausch (ECDH). Hierbei werden bisher jedoch verschiedene ECDH-Parameter nicht ausreichend validiert, bevor ein gemeinsamer Schlüssel vereinbart wird. Dadurch sei die Verschlüsselung angreifbar für Man-in-the-Middle-Attacken. Für diese müsste der Angreifer jedoch in Bluetooth-Reichweite zum Opfer sein, während das Opfer eine dieser Verbindungen aufbaut.

Treiber-Updates schließen Lücke

Die Bluetooth SIG, die Standadisierungsorganisation hinter Bluetooth, hat bereits reagiert und die Spezifikationen für das Bluetooth-Protokoll aktualisiert. Zudem haben verschiedene Hersteller bereits Firmware- und Treiber-Updates veröffentlicht oder angekündigt. So hat Apple etwa die Lücke bereits am 9. Juli mit den Sicherheitsupdates auf iOS 11.4, watchOS 4.3.1, tvOS 11.4 sowie macOS 10.13.5 High Sierra gefixt. Auch Intel hat laut seinem Report INTEL-SA-00128 bereits Updates bereitgestellt.

Von Broadcom und Qualcomm liegen laut CERT noch keine Updates vor. Microsoft ist laut CERT nicht betroffen. Unklar ist noch der Gefährdungsstatus für Android und Linux sowie andere große Hardwarehersteller. Hier dürften in Kürze weitere Stellungnahmen von Google, Samsung und Co. folgen. 

Mehr lesen

Bluetooth Logo
Bluetooth-Schwachstelle

Erste Samsung-Smartphones sollen einen Patch erhalten haben, der die Bluetooth-Schwachstelle namens BlueBorne schließt. Gehört Ihr Gerät dazu?

Mehr zum Thema

Apple iPhone X
Datenschutz

Siri liest private Nachrichten aus WhatsApp und dem Facebook-Messenger vor, selbst wenn das Gerät gesperrt ist. Schuld ist wohl ein iOS-Bug.
Apple iPhone X
Sicherheitslücke in iOS

Wer einen Computer am iPhone als vertrauenswürdig einstuft, bietet Hackern Angriffsfläche. Diese können Daten sogar ohne Kabelverbindung auslesen.
Apple iPhone X
iPhone 2018 mit langsamerem Modem

Apple wird beim iPhone auf LTE-Modems von Qualcomm verzichten. Dem Ende der Partnerschaft war ein Rechtsstreit der Unternehmen vorausgegangen.
iPhone 7
Qualcomm gegen Apple

Infolge eines Patentstreits muss Apple den Verkauf zweier iPhone-Modelle zeitnah einstellen.
iOS 12.1 FaceTime
Facetime-Fehler ermöglicht heimliches Abhören

Über einen Fehler in Facetime konnte man andere Nutzer ohne deren Wissen belauschen. Mit iOS 12.1.4 schließt Apple nun die Sicherheitslücke.
Alle Testberichte
Honor View 20
Technische Daten, Preis und Verfügbarkeit
Das neue Honor View 20 hat ein frontfüllendes Display, eine Kamera mit 48 MP Auflösung und ein auffallendes Design. Wir konnten es bereits antesten.
Kompaktbox Nupro X-3000 Nubert
Kompaktlautsprecher
Die kleine Aktivbox X-3000 von Nubert schwingt sich zu großartiger Klangfülle auf. Im Test muss der Kompaktlautsprecher zeigen was er kann.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.