Android-telefoon vastgehouden door handen

Android-telefoons vatbaar voor bluetooth-aanval

Laatst bijgewerkt: 17 februari 2020
Leestijd: 2 minuten, 9 seconden

Een bluetoothlek maakt zowel Android 8 Oreo als Android 9 Pie-telefoons vatbaar voor cyberaanvallen. Gisteren heeft Google een update uitgebracht die de bluetoothzwakheid op Android moet verhelpen.

Zwakke plek in bluetoothsysteem ontdekt

De zwakke plek in de bluetooth-software op Android 8 en 9-toestellen werd ontdekt door een Duits beveiligingsbedrijf, ERNW. De veiligheidsonderzoekers van ERNW identificeerden het probleem drie maanden geleden en rapporteerden dit aan Google. Sindsdien heeft Google gewerkt aan een oplossing voor dit lek. Nu heeft de techgigant gisteren een update uitgebracht die de bug oplost, zodat deze niet meer uit te buiten is.

Bluetoothlek staat hackers toe malware te installeren

De bluetooth-kwetsbaarheid die door de ERNW-onderzoekers werd ontdekt, staat aanvallers toe om zonder medeweten van gebruikers malware op Android-toestellen te installeren. Omdat dit via bluetooth gaat, moeten hackers hiervoor wel in de buurt van deze toestellen zijn. Naast het installeren van malware, staat de bug aanvallers ook toe om persoonlijke data van telefoons te stelen, zonder dat de eigenaar ook maar weet dat er een aanval plaatsvindt. Zolang de eigenaar bluetooth op zijn of haar toestel heeft geactiveerd, is het mogelijk hier misbruik van te maken, zo legt één van de onderzoekers uit.

Aanvallers moeten wél het bluetooth MAC-adres van de telefoon weten om de bug te kunnen exploiteren. Dit MAC-adres wordt door de fabrikant aan het toestel meegegeven en is niet gemakkelijk te achterhalen. Helaas kan dit adres op sommige toestellen worden afgeleid van het wifi MAC-adres, wat wel gemakkelijk te achterhalen is.

Lek aanwezig op Android 8, 9 en 10

Naast Android 8 en 9 telefoons, is de bluetoothlek ook te vinden op Android 10 toestellen. Aanvallers kunnen deze bug op Android 10 echter niet gebruiken om malware te installeren of gegevens te stelen. In plaats daarvan crasht bluetooth op deze telefoons zodra een buitenstaander code probeert aan te passen of te injecteren.

Het is niet bekend of het lek ook aanwezig is op eerdere versies van Android, aangezien de ERNW deze niet heeft getest. Wel weten we dat aanvallers het lek niet uit kunnen buiten zolang je je bluetooth uit hebt staan.

Wat kun je tegen dit lek doen?

Heb je een Android-telefoon en gebruik je bluetooth? Dan raden we je aan om de laatste update van Google te installeren. Deze is gisteren uitgekomen. Als je een telefoon gebruikt waar Google nog geen update voor heeft, of een verouderde telefoon zonder verdere updates, raden we je aan om bluetooth compleet uit te schakelen of op zijn minst je telefoon onvindbaar te maken binnen je bluetooth-instellingen. Voor meer informatie over hoe je je bluetoothverbinding zo goed mogelijk kunt beveiligen, kun je terecht bij ons artikel over dit onderwerp.

Cybersecurity analist
David is cybersecurity analist en een van de oprichters van VPNgids.nl. Geïnteresseerd in het fenomeen van de ‘digitale identiteit’, met speciale aandacht voor het recht op privacy en bescherming van persoonsgegevens.

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen