Eine Bluetooth-Schwachstelle sendet Euren Standort an Hacker
Forscher der Boston University haben eine Schwachstelle in mehreren Bluetooth-Geräten entdeckt, die es Hackern ermöglicht, Euren Standort und andere sensible Informationen auszulesen.
Sollte ein solches Skript in die falschen Hände geraten, könnten diese Informationen genutzt werden, um Euren Standort zu verfolgen. Die Schwachstelle scheint etwas mit der Art und Weise zu tun zu haben, wie Geräte sich miteinander verbinden. Dabei ist ein Gerät das primäre, von dem die Verbindung ausgeht, während die anderen sekundär sind und sich verbinden möchten. Die meisten Geräte produzieren eine zufällige Adresse, die in gewissen Zeitabständen generiert wird. Aber Forscher der Boston University fanden heraus, dass sie mit Hilfe eines Open-Source-Algorithmus Bluetooth-Verbindungen auch bei Adressänderungen identifizieren können.
Welche Geräte sind betroffen?
Die Sicherheitslücke könnte genutzt werden, um Bluetooth-Geräte und ihre Benutzer zu verfolgen. Android-Geräte scheinen sicher zu sein. Geräte mit iOS und Windows 10 hingegen sind laut den Forschern von der Sicherheitslücke betroffen. Am stärksten betrifft das Problem Besitzer von Fitbit-Geräten, weil diese ihre Adressen nicht automatisch ändern, was die Verfolgung noch einfacher macht.
Für Fitbit-Geräte gibt es leider noch keine Lösung. Unter Windows 10 und iOS hilft es zumindest, Bluetooth auszuschalten.
Via: Engadget Quelle: Boston University
Wie weit reicht denn das Bluetoothsingnal? Bei der Uhr oder IOS wird es doch keine riesen Entfernung sein, das heisst den den ich verfolge ist mehr oder weniger in Sichtweite. Jemand mit Win10 hat entweder einen Laptop, der wahrscheinlich aus ist beim Transport oder einen PC der irgendwo steht, den brauch ich nicht zu verfolgen. Davon ab ein Laptop oder PC, wie soll der meinen Standort verraten ohne GPS?
Nutze Bluetooth eh nie und nur selten, daher ist es aus.
Was sind "andere sensible Daten"? Und wie hoch ist die Gefahr wirklich? In welchen Gebieten ist die Gefahr wirklich existent? BT abschalten ist bei Windows nicht immer möglich, z.B. wenn man auf eine BT-Maus angewiesen ist.
Aber eine Bluetooth Maus ist nicht zwingend nötig, wenn man diese auch Kabelgebunden verwenden kann.
Oder eine Funkmaus mit proprietären Protokoll und USB-Dongle.
Das Surface z.B. hat nur eine USB-Schnittstelle. Aber auch bei Desktop-PCs sind USB-Anschlüsse rar, mein PC hat auch zu wenig USB-Anschlüsse, ohne aktiven USB-Hub wäre ich aufgeschmissen (eine zusätzliche USB-Karte einbauen wird schwierig). Logitech macht es einem da leicht, dank Unifying reicht ein Unifying-Empfänger für mehrere BT-Geräte, das spart USB-Anschlüsse (kaum ein Desktop-PC hat Bluetooth fest verbaut).
Einen USB-Hub verwenden.
Ihr immer mit euren Vorschlägen. Es gibt auch Gründe für schnurlose Mäuse. Und mobil einen aktiven USB-Hub mitschleppen macht kaum einer, gibt auch keinen mit Akku.
Der Workaround für iOS und Windows 10 ist mir eine große Hilfe. Danke für den ungewöhnlichen, aber dienlichen Tipp. Sind Nebenwirkungen bekannt?
" Sind Nebenwirkungen bekannt?"
Ohne Bluetooth kannst du keine Bluetooth Geräte verwenden, bei den meisten Windows Tablets oder Notebooks ein no-go, da entweder gar keine oder nur sehr wenige USB-Anschlüße vorhanden sind.
Und bei iOS: wir haben hier keine andere Wahl als hier Bluetooth zu verwenden wenn wir Musik über Kopfhörer hören wollen, denn ohne einen Klinken-Anschluß bliebe nur noch dieser schrekliche Adapter.
Sorry, aber Bluetooth abzuschalten ist keine Lösung.
Was hier jetzt fehlt: Bluetooth hat ja meistens nur eine Begrenzte Reichweite (wenn ic mich nicht Irre zwischen 100 und 10 Metern). Muss der Hacker in dieser Reichweite Sein? Wenn ja ist das Witzlos. Da kann mir der Hacker gerne in die Augen sehen. Juckt mich nciht. Daher frage ich mich? Wo liegt da die Gefahr?
Oder Kann der Hacker per Mobilfunk/WLAN auf das Gerät um dann über diese Lücke den Standort bestimmen? dann wären nicht alle Fitbit Geräte betroffen.
Wenn ich mich recht entsinne waren es bei Bluetooth 5.0 bis zu 400m. Aber eben nur auf komplett freiem Feld. Eine Betonwand und der Abstand zerfällt zu einem Bruchteil davon... und bei 4.0 (was mit am weitesten verbreitet ist) reicht teilweise eine Wand und der Empfang ist schon nach zwei Metern futsch ^^
Um jemanden tatsächlich lückenlos verfolgen zu können, müsste man ihm vermutlich in kurzem Abstand folgen. Da kann man sich den Aufwand mit dem Bluetooth sparen.
Anders sieht es aus, wenn jemand an bestimmten Orten präparierte Blutooth Geräte verteilt, um so Bewegungsmuster, Arbeitszeiten, Ab-/Anwesenheiten, etc zu tracken. Wenn sich die Geräte eindeutig zuordnen lassen, dann sollte auch nach kurzer Beobachtung klar sein, welches Gerät zu welcher Person gehört.
Das lässt sich so pauschal nicht sagen. Es hängt letztlich vom "Link-Budget" ab, also welche Leistung beim jeweiligen Empfänger nach Abzug aller Dämpfungen noch übrig bleibt. Liegt die bei beiden Empfängern oberhalb der Empfängerempfindlichkeit, kommt eine Verbindung zustande. Bei handelsüblichen Bluetooth-Geräten kommt die Reichweite je nach Bluetooth-Class so etwa hin. Wie Tim allerdings schon richtig geschrieben hat, kann sie im Freien auch erheblich größer sein.
Ein "Wardriver" mit hochempfindlichem Messempfänger und starker Richtantenne kann die Reichweite aber noch erheblich steigern, vermutlich bis über mehrere Kilometer.
Wegen der erforderlichen exakten Ausrichtung der Antenne muss der Angreifer sein Opfer allerdings sehen können.
Jemanden zu orten, von dem man weiss, wo er ist, weil man ihn sieht, erscheint dann doch recht witzlos zu sein, möglicherweise sind die "anderen sensiblen Daten" auch interessanter.
Auch Methoden wie von K. Lauer beschrieben, erscheinen mir für eine Ortung wenig effektiv, weil auch sie unter Reichweitenbegrenzung leiden, und die Platzierung der Geräte auch die Kenntnis von zumindest möglichen Aufenthaltsorten des Opfers erfordert.
Dass sich Angriffsszenarien konstruieren lassen, heißt noch nicht, dass sie für Angreifer auch lukrativ sind.
Und wo ist da das Problem? 95% der idioten heutzutage haben eh entweder Google Dienste und/oder Echsenmensch-Programme installiert.
Du auch?
@Hannes, nein. Weder WhatsApp noch Instagram/FaceBook.
Oh, was sind denn Echsenmensch-Programme?
Also ist man jetzt ein Dummer Idioten Mensch und minderbemittelt weil man die Google Dienste Aktiv Nutzt?