Gehackt via Bluetooth

Onderzoekers van beveiligingsbedrijf Armis hebben het ernstige lek in Bluetooth gevonden en doopten het BlueBorne. Wat de situatie bijzonder ernstig maakt, is dat er op een tiental seconden kan worden ingebroken op zowat elk apparaat waarvan de Bluetooth-functie is ingeschakeld. De eigenaar van het toestel zal daar niets van merken. In combinatie met andere lekken in Bluetooth en besturingssystemen kan een aanvaller in veel gevallen een apparaat volledig overnemen of gegevens stelen.

Verontrustend is dat er vooraf geen enkele relatie tussen het aanvallende toestel en het doelwit hoeft te zijn (pairing), noch moet de gebruiker een actie ondernemen om de aanvaller binnen te laten. Het kan letterlijk gebeuren vanaf een andere tafel in een café, terwijl je telefoon in je jaszak zit. Potentieel biedt het ook een mogelijkheid om in te breken op apparaten op zogenaamde air-gapped-netwerken, netwerken die om veiligheidsredenen niet met het internet zijn verbonden.

Grote impact

Hoeveel toestellen met Bluetooth zijn er? Het is bijna onmogelijk om in te schatten, maar het antwoord is sowieso: heel veel. Bluetooth bestaat al sinds eind jaren negentig en is sindsdien geëvolueerd naar een standaardfunctie op smartphones, tablets en laptops. Van die producten zijn er miljarden verkocht. Minder bekend is dat Bluetooth ook de draadloze technologie bij uitstek is op slimme horloges, domotica, televisies en speakers. De nieuwste variant, Bluetooth Low Energy, droeg in ruime mate bij tot de doorbraak van allerlei smart-apparaten.

Bluetooth heeft een bijzondere ontwikkeling gekend, met veel betrokken partijen. Daardoor is het helaas ook overdreven complex, zeggen de Armis-onderzoekers in hun paper. Zo is de Bluetooth-standaard meer dan 2.800 pagina’s lang, terwijl die van de IEEE802.11-WiFi-standaard in 450 pagina’s te vatten is. Door die complexiteit hebben security-onderzoekers er relatief weinig aandacht aan besteed. Bluetooth heeft bovendien een pairing-functie, waarbij de gebruikers van beide toestellen die met elkaar contact zoeken daar toestemming voor moeten geven. Dat gaf een vals gevoel van veiligheid, stelt Armis.

Hoe werkt het?

Het grote probleem is dat Bluetooth-toestellen altijd ‘luisteren’ naar andere Bluetooth-apparaten, ook als de discoverability-functie is uitgeschakeld. Je ziet bijvoorbeeld een smartphone niet in een lijst van Bluetooth-toestellen verschijnen omdat de telefoon verkiest niet te reageren. Maar hij heeft wel het initiële ‘is daar iemand?’-pakket ontvangen. De deur staat dus altijd open.

Op zich is dat niet nog zo gevaarlijk, ware het niet dat het relatief eenvoudig is om de unieke Bluetooth device- en MAC-adressen te ontdekken (BDADDRs). Dat kan bijvoorbeeld via de WiFi-pakketten die hetzelfde apparaat uitstuurt. Gewapend met de BDADDRs kan een aanvaller verrassend vlot een Bluetooth-toestel zover krijgen om te communiceren. Er zijn dan verschillende manieren om uiteindelijk in te breken, afhankelijk van het besturingssysteem dat op het doelwit draait.

De situatie is bijzonder ernstig bij Linux en Android, omdat delen van Bluetooth rechtstreeks deel uitmaken van de kernel van het besturingssysteem. En wie een aanval op de kernel kan uitvoeren, heeft de facto toegang tot alles. Tot op heden heeft Armis acht zwakke plekken gevonden die een BlueBorn-aanval kan benutten. Drie daarvan treffen Linux, vier Android, één Windows en eentje Apple. De onderzoekers roepen collega’s op om de zeer complexe Bluetooth-stacks verder te onderzoeken, want ze vermoeden dat er net door die chaotische groei van Bluetooth meer verscholen problemen bestaan.

Microsoft heeft bij het begin van de zomer al een patch uitgebracht die BlueBorn-aanvallen onmogelijk zou maken, Google deed dat recent voor Android. De Android-patch moet echter nog worden aangepast door fabrikanten van heel wat smartphones en tabletmodellen, en dat duurt vaak wel een tijdje. Hoe dan ook is het verstandig om Bluetooth alleen in te schakelen als je het ook echt nodig hebt.