BlueFrag: Risiko Bluetooth-Schnittstelle und die Corona-Warning-App
Vorab: Das nachfolgend dargestellte Risiko gilt generell bei der Nutzung der Bluetooth-Schnittstelle. Ausgelöst durch die Corona-Warning-App dürfte die Nutzung der Schnittstelle aktuell vermutlich als hoch eingestuft werden.
Stand 24.06.2020 wurde die Corona-Warning-App 12,6 Millionen Mal heruntergeladen – für Android und iOS. In den kommenden Tagen / Wochen dürfte die Verbreitung weiter ansteigen. Leider wird im Zuge der Verbreitung aber gerade »großzügig« über ein Risiko hinweggesehen, das von der Bluetooth-Schnittstelle ausgeht.
Aber mal langsam und der Reihe nach. Von der schwerwiegenden Sicherheitslücke BlueFrag (CVE-2020-0022) sind alle Android-Geräte mit der Betriebssystem-Version ab 8.0 bis einschließlich 9.0, deren Hersteller (noch) keine (auf Googles aktuellen Patches basierenden) Sicherheitsupdates verteilt haben, betroffen. Damit ist eine Remote-Code-Execution und auch Datenklau möglich.
Eine Nutzerinteraktion ist für den Angriff nicht notwendig. Laut einer Beschreibung von CVE-2020-0022 durch die Firma ERNW muss einem Angreifer in Reichweite lediglich die Bluetooth-MAC-Adresse des Geräts bekannt sein. Und wie kommt ein Angreifer da ran? Android Geräte versenden nicht dauerhaft die Bluetooth-MAC-Adresse, die für den Angriff notwendig wäre. Diese wird nur unter bestimmten Voraussetzungen versendet bspw. dann wenn ein neues Gerät gekoppelt wird. Ein Angreifer kann die Bluetooth-MAC-Adresse allerdings relativ einfach ableiten, sofern er sich im selben WiFi-Netzwerk wie das Ziel befindet. Auszug aus dem BlueFrag-Paper:
On Android 8.0 to 9.0, a remote attacker within proximity can silently execute arbitrary code with the privileges of the Bluetooth daemon as long as Bluetooth is enabled. No user interaction is required and only the Bluetooth MAC address of the target devices has to be known. For some devices, the Bluetooth MAC address can be deduced from the WiFi MAC address. This vulnerability can lead to theft of personal data and could potentially be used to spread malware (Short-Distance Worm).
Angenommen die WiFi-MAC-Adresse lautet: 50:8D:4E:F5:10:b3. Dann ist die Bluetooth-MAC-Adresse meist entweder *:b2 oder *:b4. Also nur der letzte Hex-Wert wird hoch- oder runtergezählt.
Insgesamt reduziert dieser Umstand natürlich das Angriffsszenario bzw. Risiko, da man für einen erfolgreichen Angriff zunächst die WiFi-MAC-Adresse kennen muss, um daraus die Bluetooth-MAC-Adresse abzuleiten. Dennoch ist die Gefahr nicht zu unterschätzen, die von der BlueFrag-Lücke ausgeht – gerade in Anbetracht der vielen aktiven Bluetooth-Schnittstellen.
Ein Proof-of-Concept (Poc) für den Angriff ist jedenfalls verfügbar – Exploits bereits ebenfalls.
In Anbetracht der Android-Welt und seiner veralteten Geräte bzw. der Update-Problematik ist die Nutzung der Corona-Warn-App mit einem nicht zu unterschätzenden Risiko verbunden – sofern nicht das aktuelle Patch-Level bzw. mindestens von Februar 2020 vorliegt.
Übrigens: Damit die Corona-Warning-App genutzt werden kann ist lediglich ein Update der Google Play Services notwendig und nicht wie von einigen falsch dargestellt ein Update des Android-Systems als solches. Das bedeutet: Es sind einige verwundbare Geräte im Umlauf, die die Corona-Warning-App nutzen können – ein zu niedriges Patchlevel ist nämlich kein Ausschlusskriterium.
Das in der Corona-Pandemie viel zitierte Beispiel Südkorea – eine Datenschutz-Analyse
Kommentar: Der Datenschutz als Sündenbock in der Corona-Pandemie
Airgeddon: Wie WLANs gehackt werden und wie man sich davor schützt
Klimaschutz mit Datenschutz? Der große Elektroauto-Ladeapp-Test
