News Apple, Android und Linux: Angreifer können per Bluetooth Befehle einschleusen

[coffee4free]

Der Einsatz der Bluetooth-Technologie gehört heute für viele Menschen zum Alltag. Ein Softwareingenieur hat darin Schwachstellen entdeckt, durch die sich auf anfälligen Systemen Tastatureingaben einschleusen lassen. Betroffen sind verschiedene Versionen von macOS, iOS und Linux sowie Android-Versionen der letzten elf Jahre.

Zur News: Apple, Android und Linux: Angreifer können per Bluetooth Befehle einschleusen

 

[Berlinrider]

Doof, denn diese Lücke betrifft ja nicht nur ein paar Spezialfälle…

Deswegen seit Jahren nur noch Geräte mit langem Software Support. Mit den ganzen China Androids schaut man in die Röhre, aber gut da sind ggf. noch andere Knaller vorinstalliert.

Insofern Grüße an alle die sich fragen warum ein Smartphone mehr als 200€ kosten kann. Software wird immer komplexer und Patcht sich nicht von selbst.

 

[Termy]

Interessant wäre ja mal, warum der Patch in den meisten Distros nicht aktiv ist? Hat dieser irgendwelche unschönen Nebenwirkungen?

 

[seyfhor]

Schöne kabellose Welt

 

[DrAgOnBaLlOnE]

Und warum wird Windows nicht aufgeführt.
Wäre ja nen Ding wenn unter Windows es mal keine Schwachstelle geben sollte!

 

[Mcr-King]

Also Motorola will bald ein Patch bringen.

 

[X79]

Ich selbst verwende seit Jahren wo es geht nur noch Kabel. WLAN ist fast immer aus, Bluetooth nutze ich garnicht. Das einzige was ab und an funkt, sind Switch und Playstation Controller. Hab ich in den 80er, 90ern auch überlebt. Zu WPA zeiten hab ich selber WLans zum Spaß gehackt. In Gran Turismo hat auch mal jemand per Linux einen PS Controller simuliert und sich in einem ernsten E-Sport Wettbewerb (an dem ich auch teilgenommen habe) den ersten Platz erschummelt. Da ist mir zu viel untergekommen, dass ich dieser Technologie generell nicht mehr über den Weg traue. Better safe than sorry. Manchmal bezahlt man für Komfort einen hohen Preis. Und die IT wird immer komplexer und fehleranfälliger, bzw. bietet immer mehr Angriffsfläche.

 

[0x8100]

Hat dieser irgendwelche unschönen Nebenwirkungen?

wenn man sich den patch anschaut:

-# Defaults to false to maximize device compatibility.
+# Defaults to true for security.

war es wohl wichtiger, keine bug-reports wegen nicht funktionierender geräte zu haben, als die sicherheit zu erhöhen...

 

[AlphaKaninchen]

war es wohl wichtiger, keine bug-reports wegen nicht funktionierender geräte zu haben, als die sicherheit zu erhöhen...

Ein Schalter Secure Mode (aktiviert solche Sachen) und Crypt Only Mode (erzwingt zusätzlich Secure Connections Only mit Security Mode 4 Level 4)

 

[PTS]

Doof, denn diese Lücke betrifft ja nicht nur ein paar Spezialfälle…

Deswegen seit Jahren nur noch Geräte mit langem Software Support. Mit den ganzen China Androids schaut man in die Röhre, aber gut da sind ggf. noch andere Knaller vorinstalliert.

Insofern Grüße an alle die sich fragen warum ein Smartphone mehr als 200€ kosten kann. Software wird immer komplexer und Patcht sich nicht von selbst.

come on, wie oft wurdest du schon gehacked in deinem leben?

ich wurde 1x in meinem leben gehacked wenn man das so nennen kann, und ich bin schon knapp 30 jahre im internet unterwegs.

Du machst aus ner Ameise nen Elefanten die Sicherheitslücke gab es schon ewigkeiten und trotzdem passierte doch nichts? merkste hoffentlich selbst..

Ich benutze seit jahren android 9 (!!!) und das ist ja sowas von veraltet, wie viele sicherheitslücken ich haben muss.. mein gott und trotzdem passiert mir rein gar nichts ach und nen china xiaomi phone isses auch noch, ohjemine, nicht das da ne app im hintergrund läuft von den asiaten, muss ich jetzt angst haben das ich morgen nicht mehr lebe? hilfe

 

[Lora]

....Debian, Fedora, Gentoo, Arch und Alpine angekündigt wurde

Ist doch für Debian schon seit längerem fixed:

Siehe: https://security-tracker.debian.org/tracker/CVE-2020-0556

Was soll da nicht aktiviert sein? Wenn "fixed" dran steht dann wird es schon stimmen.

 

[0x8100]

come on, wie oft wurdest du schon gehacked in deinem leben?

beispiel von vor 2 wochen: ich geh zu einer packstation, die nur noch mit bluetooth arbeitet. hat zwar alles funktioniert, aber ich bekam darauf hin ein gutes dutzend meldungen, dass diverse bluetooth-kopfhörer sich mit meinem phone verbinden wollten. solche spielchen sind z.b. mit einem flipper zero für jedes script-kiddie möglich:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

in dem fall ist mir jetzt nichts passiert (und seit dem ist bluetooth auch default aus), aber du kannst mal raten, wie lange es dauert, bis der typ mit dem neuen exploit unterwegs ist und dort wartet, wo die leute bluetooth aktivieren müssen.

 

[tomgit]

come on, wie oft wurdest du schon gehacked in deinem leben?

ich wurde 1x in meinem leben gehacked

Einmal von dem du weißt.

die Sicherheitslücke gab es schon ewigkeiten und trotzdem passierte doch nichts? merkste hoffentlich selbst..

Noch nichts, von dem du weißt.

Ich benutze seit jahren android 9 (!!!) und das ist ja sowas von veraltet, wie viele sicherheitslücken ich haben muss.. mein gott und trotzdem passiert mir rein gar nichts ach und nen china xiaomi phone isses auch noch, ohjemine, nicht das da ne app im hintergrund läuft von den asiaten, muss ich jetzt angst haben das ich morgen nicht mehr lebe? hilfe

Und was willst du daraus schließen? Nur weil es für dich persönlich keine Gefahr darstellt, soll der Rest auch die Sicherheitslücke ignorieren?

 

[Grimba]

Und warum wird Windows nicht aufgeführt.
Wäre ja nen Ding wenn unter Windows es mal keine Schwachstelle geben sollte!

Na weil hier offenkundig UNIX verwandte Systeme betroffen sind. Das ist Windows bekanntermaßen nicht, die Implementierung ist dort ganz anders.

 

[Fujiyama]

Unter iOS dürfte die Wahrscheinlichkeit ein Magic Keyboard angeschlossen zu haben gegen null sein, da ist man recht sicher. Bei einem Apple Tablet, welches iPadOS besitzt sieht das anders aus.
Ggf. sollte man iPadOS mit aufführen. (Dürfte ja sowohl iOS als auch iPadOS betroffen sein)

 

[Singler]

Linux also... aha... die zu Windows sichere Alternative... aha ^^

 

[m4c1990]

Hm, hat also einen Vorteil, dass ich Bluetooth ausschalte, sobald ich es nicht mehr nutze
Wozu soll der Kram grundlos funken...

@0x8100 Packstation nur mit Bluetooth? Ist die App/Optischer-Scanner Kombi so viel teurer für DHL?^^

 

[0x8100]

Packstation nur mit Bluetooth? Ist die App/Optischer-Scanner Kombi so viel teurer für DHL?^^

sie ist wartungsärmer. es gibt leider immer wieder idioten, die es ganz toll finden, bei den alten packstationen den scanner oder den bildschirm mit farbe einzusprühen oder sonstwie unbrauchbar zu machen. beides braucht die bluetooth-variante nicht. die dhl-app empfängt das beacon der packstation und weiss somit, dass du davor stehst. in der app öffnest du dann einfach die klappe. setzt natürlich ein phone mit app, bluetooth und datenempfang voraus.

 

[PTS]

Einmal von dem du weißt.


Noch nichts, von dem du weißt.

..und der nachteil bleibt der gleiche, gar keiner daher wayne?
in meinen bekanntenkreis gibt es auch niemanden der mal schwerwiegend hacked wurde oder sonstiges, ihr macht wie gesagt aus ner Ameise nen elefanten aber jeder wie er mag.

aber hauptsache das geld banken anvertrauen die teilweise noch mit windows98 ihre sicherheit bewahren hust da sagt ja auch niemand was ne?

 

[drago-museweni]

@Mcr-King biste dir da sicher die schnellsten sind die nicht, und Software pflegen ist überhaupt nicht das Thema von Motorola. Ein G100 Nutzer.