Android-telefoon vastgehouden door handen

Android-telefoons vatbaar voor bluetooth-aanval

Laatst bijgewerkt: 13 juli 2020
Leestijd: 2 minuten, 36 seconden

Een bluetoothlek maakt zowel Android 8 Oreo als Android 9 Pie-telefoons vatbaar voor cyberaanvallen. Hiermee was het mogelijk om op afstand een willekeurige code op smartphones uit te voeren, al dan niet met kwaadaardige bedoelingen. Gisteren heeft Google een update uitgebracht die de bluetoothzwakheid op Android moet verhelpen.

Dat schrijft de Duitse beveiligingsonderzoeker Jan Ruge op de blog van beveiligingsbedrijf ERNW. Hij heeft het lek omgedoopt tot BlueFrag.

Bluetoothlek staat hackers toe malware te installeren

De bluetooth-kwetsbaarheid die door Ruge van het Secure Mobile Networking Lab van de Technische Universität Darmstadt werd ontdekt, staat aanvallers toe om zonder medeweten van gebruikers malware op Android-toestellen te installeren. Omdat dit via bluetooth gaat, moeten hackers hiervoor wel in de buurt van deze toestellen zijn. Naast het installeren van malware, staat de bug aanvallers ook toe om persoonlijke data van telefoons te stelen, zonder dat de eigenaar ook maar weet dat er een aanval plaatsvindt. Zolang de eigenaar bluetooth op zijn of haar toestel heeft geactiveerd, is het mogelijk hier misbruik van te maken, zo legt één van de onderzoekers uit.

Aanvallers moeten wél het bluetooth MAC-adres van de telefoon weten om de bug te kunnen exploiteren. Dit MAC-adres wordt door de fabrikant aan het toestel meegegeven en is niet gemakkelijk te achterhalen. Helaas kan dit adres op sommige toestellen worden afgeleid van het wifi MAC-adres, wat wel gemakkelijk te achterhalen is.

Lek aanwezig op Android 8, 9 en 10

Het ontdekte bluetoothlek is als kritiek bestempeld voor Android 8.0 (Oreo), Android 8.1 (Oreo) en Android 9.0 (Pie). Naast Android 8 en 9 telefoons, is de bluetoothlek ook te vinden op Android 10 toestellen. Aanvallers kunnen deze bug op Android 10 echter niet gebruiken om malware te installeren of gegevens te stelen. In plaats daarvan crasht bluetooth op deze telefoons zodra een buitenstaander code probeert aan te passen of te injecteren.

Het is niet bekend of het lek ook aanwezig is op eerdere versies van Android, aangezien de ERNW deze niet heeft getest. Wel weten we dat aanvallers het lek niet uit kunnen buiten zolang je je bluetooth uit hebt staan.

Ruge identificeerden het probleem drie maanden geleden en rapporteerde dit aan Google. Sindsdien heeft Google gewerkt aan een oplossing voor dit lek. Nu heeft de techgigant gisteren een update uitgebracht die de bug oplost, zodat deze niet meer uit te buiten is. Het lek wordt aangeduid onder de noemer CVE-2020-2022 en wordt vermeld in Googles Android Security Bulletin van februari 2020. Details over de precieze werking van de bug heeft Ruge vooralsnog niet online gezet. Hij wil daarmee wachten totdat Android-gebruikers de patch van Google hebben geïnstalleerd.

Wat kun je tegen dit lek doen?

Heb je een Android-telefoon en gebruik je bluetooth? Dan raden we je aan om de laatste update van Google te installeren. Deze is gisteren uitgekomen. Als je een telefoon gebruikt waar Google nog geen update voor heeft, of een verouderde telefoon zonder verdere updates, raden we je aan om bluetooth compleet uit te schakelen of op zijn minst je telefoon onvindbaar te maken binnen je bluetooth-instellingen. Voor meer informatie over hoe je je bluetoothverbinding zo goed mogelijk kunt beveiligen, kun je terecht bij ons artikel over dit onderwerp.

Cybersecurity analist
David is cybersecurity analist en een van de oprichters van VPNgids.nl. Geïnteresseerd in het fenomeen van de ‘digitale identiteit’, met speciale aandacht voor het recht op privacy en bescherming van persoonsgegevens.

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen