bluetooth telefoon

Nieuw lek maakt vrijwel elk apparaat met bluetooth kwetsbaar volgens onderzoekers

Laatst bijgewerkt: 20 augustus 2019
Leestijd: 1 minuut, 23 seconden

Onderzoekers van de universiteiten van Singapore en Oxford, en het CISPA Centrum voor Informatiebeveiliging in Helmholtz, hebben een groot lek ontdekt in het bluetooth-protocol. Aanvallers die gebruik willen maken van het lek, zouden van een afstandje mee kunnen luisteren met het apparaat. De onderzoekers hebben het lek het lek KNOB-attack genoemd; een afkorting van Key Negotiation of Bluetooth.

Vatbare apparaten

De kwetsbaarheid in het protocol zit bij de encryptiesleutel die wordt uitgewisseld als twee bluetooth-apparaten verbinding met elkaar maken. Er zit geen authenticatie op het protocol dat bepaalt hoe lang de encryptiesleutel moet zijn, waardoor een aanvaller dit zou kunnen manipuleren door de sleutel heel klein te maken. Vervolgens kan die sleutel met een brute force-aanval achterhaald worden.

Het lek zit in apparaten die gebruikmaken van Bluetooth 1.0 tot en met 5.1. Een aanval werkt volgens de onderzoekers op elk apparaat dat zij testten met chipsets van Intel, Broadcom, Apple en Qualcomm.

Kans op actief gebruik lijkt klein

Om het lek actief te gebruiken moet een aanvaller binnen het bluetooth-bereik van het beoogde kwetsbare apparaat zijn. Daarbij moeten beide apparaten kwetsbaar zijn voor KNOB-attack en moet de aanvaller voldoende tijd hebben om een brute force-attack uit te voeren. Door deze factoren lijkt de kans klein dat er actief gebruik gemaakt wordt of gaat worden van het lek.

De onderzoekers hebben hun werkwijze bekendgemaakt. Voor die tijd hebben ze hun bevindingen gedeeld met een aantal grote fabrikanten, zodat zij alvast patches uit konden brengen om het lek te dichten. Het gaat om fabrikanten als Amazon, Apple, Cisco, Intel en Microsoft. Niet alle fabrikanten hebben aangegeven dat ze het lek gedicht hebben. Het kan dus zijn dat sommige apparaten nog kwetsbaar zijn.

Hoofdauteur:

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen