Es vergeht nicht ein Jahr, in dem nicht irgendwelche Sicherheitslücken entdeckt werden. Besonderes Augenmerk verdient hier die jährlich stattfindende Konferenz des Chaos Computer Club (CCC) in Leipzig. Neben der Datensammelwut von Facebook wurde dort aber nun auch ein Problem älterer Bluetooth-Chips festgestellt. Die Bluetooth-Sicherheitslücke sorgt dafür, dass ältere Smartphone teils ungehindert gehacked werden können. Betroffen sind neben dem iPhone auch Smartphones von Google.
Bluetooth-Sicherheitslücke betrifft ältere Chips von Broadcom
Genauer gesagt geht es um Smartphones, die mit einem älteren Broadcom-Chipsatz ausgestattet sind. Ein solcher Chip ist zum Beispiel in Modellen wie dem Apple iPhone 6 oder dem Google Nexus 5 zu finden. Gefunden haben die Bluetooth-Sicherheitslücke unter anderem Jiska Classen von der Forschungsgruppe für Mobilfunksicherheit der Technischen Universität Darmstadt und Dennis Mantz von der IT-Sicherheitsfirma ERNW.
Voraussetzung für die Einschleusung von gefährlichem Code war ein aktiver Bluetooth-Chipsatz. Eine direkte Verbindung, wie man es beispielsweise aus normalen Netzwerken wie WLAN oder LAN kennt, brauchte es aber nicht. Es reichte, wenn das Smartphone als sichtbar in der Umgebung von anderen Bluetooth-Endgeräten zu sehen war. Die beiden Sicherheitsexperten schleusten dann über Bluetooth Schadcode in die Systeme der Smartphones und konnte diese wiederum dazu benutzen, um weitere Geräte zu infizieren.
Die Bluetooth-Sicherheitslücke ist allerdings nur in älteren Geräten zu finden. Es geht also explizit um einen älteren Chipsatz der Broadcom-Produktlinie. Bereits das Apple iPhone 6s, das ein Jahr nach dem iPhone 6 auf dem Markt kam, ist nicht mehr von dem Problem betroffen.
Das Unternehmen Broadcom wurde von Classen und Mantz bereits informiert. Der Hersteller arbeite nun unter Hochdruck daran, das Problem zu beheben. Es gilt also als wahrscheinlich, dass Broadcom an Apple und Google noch entsprechende Bugfixes ausrollt, die die beiden Unternehmen dann in ihre Betriebssysteme integrieren können. Wann es aber so weit ist, geht aus dem Bericht noch nicht hervor.
Nicht nur Smartphones betroffen, Bluetooth besser deaktivieren
Allerdings muss man an dieser Stelle auch festhalten, dass die Bluetooth-Sicherheitslücke nicht nur Smartphones betrifft. Auch das Macbook Pro aus dem Jahr 2016 besitzt einen Broadcom-Chipsatz der besagten Produkt-Familie. Auch hier kann Code in die Firmware gespielt werden, um das System zu unterwandern.
Auf der Konferenz in Leipzig empfahl Classen aus Sicherheitsgründen Bluetooth in allen Geräten, die vor 2017 auf den Markt kamen, zu deaktivieren. Erst wenn ein entsprechender Fix bereitgestellt wurde, wäre man zumindest wieder auf der sicheren Seite.