CVE-2018-5383

Neue Bluetooth-Lücke gefährdet Millionen Geräte - jetzt Updates einspielen

Sicherheitsforscher haben eine Schwachstelle im Bluetooth-Protokoll entdeckt, die zahlreiche Chips von Apple, Broadcom, Intel und Qualcomm betrifft. Erste Fixes gegen den Hack sind bereits live.

bluetooth luecke update

© Bluetooth SIG / Montage: connect

Im Bluetooth-Protokoll, dass von zahlreichen technischen Geräten eingesetzt wird, wurde erneut eine Sicherheitslücke entdeckt.

Im Jahr 2017 machte die BlueBorne-Sicherheitslücke die Runde - nun gerät das Bluetooth-Protokoll erneut aufgrund einer Schwachstelle in den Fokus. Entdeckt wurde die Lücke von Forschern des Technion, der Technischen Universität Israels. Demzufolge sind offenbar Millionen von technischen Geräten und Chips betroffen - darunter auch Modelle von großen Herstellern wie Apple, Broadcom, Intel und Qualcomm.

Die neue Bluetooth-Lücke CVE-2018-5383 betrifft zwei Features des Drahtlos-Protokolls: Secure Simple Pairing sowie LE Secure Connections. Wie das CERT im Report zur Sicherheitslücke erklärt, setzt das Bluetooth-Protokoll bei diesen beiden Verbindungen auf Verschlüsselung mithilfe von Diffie-Hellman-Schlüsselaustausch (ECDH). Hierbei werden bisher jedoch verschiedene ECDH-Parameter nicht ausreichend validiert, bevor ein gemeinsamer Schlüssel vereinbart wird. Dadurch sei die Verschlüsselung angreifbar für Man-in-the-Middle-Attacken. Für diese müsste der Angreifer jedoch in Bluetooth-Reichweite zum Opfer sein, während das Opfer eine dieser Verbindungen aufbaut.

Treiber-Updates schließen Lücke

Die Bluetooth SIG, die Standadisierungsorganisation hinter Bluetooth, hat bereits reagiert und die Spezifikationen für das Bluetooth-Protokoll aktualisiert. Zudem haben verschiedene Hersteller bereits Firmware- und Treiber-Updates veröffentlicht oder angekündigt. So hat Apple etwa die Lücke bereits am 9. Juli mit den Sicherheitsupdates auf iOS 11.4, watchOS 4.3.1, tvOS 11.4 sowie macOS 10.13.5 High Sierra gefixt. Auch Intel hat laut seinem Report INTEL-SA-00128 bereits Updates bereitgestellt.

Von Broadcom und Qualcomm liegen laut CERT noch keine Updates vor. Microsoft ist laut CERT nicht betroffen. Unklar ist noch der Gefährdungsstatus für Android und Linux sowie andere große Hardwarehersteller. Hier dürften in Kürze weitere Stellungnahmen von Google, Samsung und Co. folgen. 

Mehr lesen

Bluetooth Logo
Bluetooth-Schwachstelle

Erste Samsung-Smartphones sollen einen Patch erhalten haben, der die Bluetooth-Schwachstelle namens BlueBorne schließt. Gehört Ihr Gerät dazu?

Mehr zum Thema

iPhone 7
Qualcomm gegen Apple

Infolge eines Patentstreits muss Apple den Verkauf zweier iPhone-Modelle zeitnah einstellen.
iOS 12.1 FaceTime
Facetime-Fehler ermöglicht heimliches Abhören

Über einen Fehler in Facetime konnte man andere Nutzer ohne deren Wissen belauschen. Mit iOS 12.1.4 schließt Apple nun die Sicherheitslücke.
5G-Titelbild
Telekommunikation

Intel verkauft die Sparte für 5G-Modems an Apple für eine Milliarde Dollar. Das bedeutet für Apple mehr Unabhängigkeit in der iPhone-Produktion.
Android Sicherheitsupdate
Viele Android-Topmodelle betroffen

Zwei Sicherheitslücken machen Smartphones mit Qualcomm-Prozessoren angreifbar. Betroffen sind unter anderem Modelle mit Snapdragon 835 und 845.
Das Original-Apple-Lightning-USB-Kabel
Manipuliertes Kabel kann Apple-Hardware übernehmen

Mit umgebauten Lightning-Kabeln könnten Hacker, die Kontrolle über iPhones, Mac-Computer und andere Geräte erlangen.
Alle Testberichte
Huawei Y7 2019
Übersicht 2019
Vom Einsteiger-Handy bis zum Flaggschiff: Unsere Übersicht listet alle aktuellen Huawei-Smartphones, die den connect Test durchlaufen haben.
Unitymedia Logo
connect Festnetztest 2019
Überraschung: Nachdem die Kölner in den letzten Jahren im Mittelfeld landeten, sind sie diesmal der Sieger im connect Festnetztest 2019.
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.