image

Onderzoek: 2 miljard apparaten kwetsbaar voor BlueBorne-aanval

vrijdag 14 september 2018, 10:57 door Redactie, 10 reacties
Laatst bijgewerkt: 14-09-2018, 12:18

Vorig jaar september waarschuwden onderzoekers voor een nieuwe aanval via bluetooth genaamd BlueBorne, maar een jaar later zijn nog altijd 2 miljard apparaten kwetsbaar. Dat stelt securitybedrijf Armis dat BlueBorne ontdekte.

Via de aanval is het mogelijk om bluetooth-apparaten in het ergste geval op afstand over te nemen. Alleen het ingeschakeld hebben van bluetooth is voldoende om te worden aangevallen. Verdere interactie van gebruikers, zoals het pairen met het bluetooth-toestel van de aanvaller, is niet vereist. Op het moment dat de aanval naar buiten werd gebracht zouden naar schatting 5,3 miljard toestellen kwetsbaar zijn. Partijen als Microsoft, Google, Linux en Apple kwamen met updates om tegen BlueBorne te beschermen.

Toch zijn er nog altijd veel mensen die kwetsbare apparaten gebruiken. Het gaat om 1 miljard Android-apparaten, 768 miljoen Linux-apparaten, 200 miljoen Windows-apparaten en 50 miljoen iOS-apparaten, aldus cijfers van Armis. In het geval van Android en iOS gaat het voornamelijk om apparaten die niet meer worden ondersteund en geen beveiligingsupdates ontvangen. Ook wijst Armis naar ongepatchte of niet te patchen versies van Linux die op allerlei apparaten draaien, van servers en smartwatches tot medische apparatuur en industriële systemen.

Reacties (10)
14-09-2018, 11:39 door Anoniem
Toch zijn er nog altijd veel mensen die kwetsbare apparaten gebruiken. Het gaat om 1 miljard Android-apparaten, 768 miljoen Linux-apparaten, 200 miljoen Windows-apparaten en 50 miljoen iOS-apparaten, aldus cijfers van Armis. In het geval van Android en iOS gaat het voornamelijk om apparaten die niet meer worden ondersteund en geen beveiligingsupdates ontvangen.
Uit dit zinnetje blijkt maar weer eens hoe erg het is. Dat van die Linux apparaten snap ik niet, want volgens iedereen is de ondersteuning goed, maar schijnbaar de moraal om updates te installeren slecht. Bij de Windows apparaten is het waarschijnlijk een combinatie van "ik update niet, waarom ook" en niet meer ondersteunde Vista, XP en oudere OS-installaties, bij iOS is het duidelijke oorzaak, maar bij Android is het bedroevend. Er zijn dus 1 miljard Android apparaten die niet (meer) ondersteund worden. Tegelijk wil iedereen alles via apps op telefoons en tablets laten lopen. Hoe zorgwekkend kun je het krijgen, want bij alle ruim 2 miljard apparaten is de veiligheid voor niet alleen dit lek gewoon onbestaand.

Laat de industrie er eens voor zorgen, dat die aantallen flink teruglopen, wie geen updates laat installeren zou gewaarschuwd moeten worden en uiteindelijk in zijn functionaliteit beperkt. Niet ondersteunde systemen, waar dit geldt door een redelijke gebruikstermijn zouden hetzelfde moeten ervaren en fabrikanten die het gewoon weigeren om updates uit te brengen wanneer die voor door hun geleverde apparaten beschikbaar zijn, zouden een forse boete, b.v. 10% van de verkoopprijs per gemist toestel per gemiste maand opgelegd moeten krijgen. Het is leuk, dat ze steeds weer nieuwe(re) gimmicks leveren, maar veiligheid voor de gegevens van de gebruikers zou altijd op nummer 1 moeten staan. Kun je dat niet, dan moet je maar stoppen.
14-09-2018, 12:31 door Anoniem
Ik gebruik geen smart-phone,en heb er niet veel last van,
maar de maatschappij "het panopticum" dwingt mij het wel te gebruiken,
om mij als burger te monitoren en afhankelijk te maken.

En maar patchen en maar patchen,weer een nieuwe kopen,
weer niet veilig,weer niet veilig.
14-09-2018, 12:37 door Anoniem
@11:39
Als alles zo kwetsbaar is, waarom zien we dan zo weinig misbruik? Dat een systeem kwetsbaar is, is één, of het ook geautomatiseerd te compromitteren is, is een tweede. Een exploit schrijven voor Android devices is bijna niet te doen, verschillende Android versies, verschillende customizations, verschillende hardware, verschillende instructiesets enz enz. Idem voor Linux. Een Linux server of desktop die geen Bluetooth radio heeft (of waar deze uit staat), mag die patch best missen. Veel bedrijven rollen alleen díe patches uit die a) nut hebben voor hun infra en b) op het moment dat zij het risico hoog genoeg schatten. Blijkbaar is er bij BlueBorne (in de praktijk) bijna geen risico of bijna geen schade, dus halen mensen (terecht) hun schouders op en lopen door. Pas als we concrete exploits gaan zien in het wild, gaat er pas wat veranderen. En dat is maar goed ook, want anders krijg je hetzelfde als met die RFID shield pashouders; hordes mensen hebben er één terwijl er geen enkel exploit scenario bekend is.
14-09-2018, 12:58 door Anoniem
Door Anoniem: Ik gebruik geen smart-phone,en heb er niet veel last van,
maar de maatschappij "het panopticum" dwingt mij het wel te gebruiken,
om mij als burger te monitoren en afhankelijk te maken.

En maar patchen en maar patchen,weer een nieuwe kopen,
weer niet veilig,weer niet veilig.

Kijk jongens, weer een slachtoffer wat gedwongen wordt door een onzichtbaar geweer iets te kopen en te gebruiken.
14-09-2018, 14:08 door Briolet
Door Anoniem: …Dat van die Linux apparaten snap ik niet, want volgens iedereen is de ondersteuning goed, maar schijnbaar de moraal om updates te installeren slecht.….

Linux apparaten worden in het algemeen juist slecht ondersteund. Ik heb b.v. een 10 jaar oude Parrot carkit die met mijn telefoon pairt. Volgens mij is het fysiek niet eens mogelijk dat ding te updaten omdat hij alleen via bluetooth met de buitenwereld kan communiceren.
14-09-2018, 15:14 door Anoniem
Door Anoniem: @11:39
Als alles zo kwetsbaar is, waarom zien we dan zo weinig misbruik?
Dit dus. Helemaal eens met de storm en een glaasje water.

Door Anoniem: @11:39
anders krijg je hetzelfde als met die RFID shield pashouders; hordes mensen hebben er één terwijl er geen enkel exploit scenario bekend is.
Ik ben anders zeer tevreden met mijn Secrid. Niet om de beveiliging, maar omdat het zo verrekte handig is voor je pasjes.
14-09-2018, 19:02 door Anoniem
Door Briolet:
Linux apparaten worden in het algemeen juist slecht ondersteund. Ik heb b.v. een 10 jaar oude Parrot carkit die met mijn telefoon pairt. Volgens mij is het fysiek niet eens mogelijk dat ding te updaten omdat hij alleen via bluetooth met de buitenwereld kan communiceren.

Was het echt zo moeilijk om even "parrot carkit update" te googlen voor je die veronderstelling hier neerzet?
15-09-2018, 10:41 door Anoniem
Door Briolet:
Door Anoniem: …Dat van die Linux apparaten snap ik niet, want volgens iedereen is de ondersteuning goed, maar schijnbaar de moraal om updates te installeren slecht.….

Linux apparaten worden in het algemeen juist slecht ondersteund. Ik heb b.v. een 10 jaar oude Parrot carkit die met mijn telefoon pairt. Volgens mij is het fysiek niet eens mogelijk dat ding te updaten omdat hij alleen via bluetooth met de buitenwereld kan communiceren.

Hoe weet jij dan dat er LInux op draait?
Enne...klagen over een 10 jaar oud apparaat van een paar tientjes...srsly?
15-09-2018, 10:57 door spatieman
over enge apparaten gesproken.
vroegah, toen wanadoo er nog was met hun livebox modem, god wat haat ik dat ding nu nog.
had ingebouwd, niet gedocumenteerd een bluettooth verbinding.
.
16-09-2018, 05:57 door Anoniem
Door Anoniem: Dat van die Linux apparaten snap ik niet, want volgens iedereen is de ondersteuning goed, maar schijnbaar de moraal om updates te installeren slecht.
[...]
Laat de industrie er eens voor zorgen, dat die aantallen flink teruglopen, wie geen updates laat installeren zou gewaarschuwd moeten worden en uiteindelijk in zijn functionaliteit beperkt.
De industrie (de makers van die apparaten) is vaak waar het misgaat.

Bij Linux heb je een hele keten van makers, en een ketting is zo sterk als zijn zwakste schakel.

Om te beginnen zijn er allerlei teams die aan specifieke pakketten werken, zoals de Linux-kernel, de Apache-webserver, LibreOffice, noem maar op, het zijn er minstens vele tienduizenden. Die ontvangen allemaal bugmeldingen en lossen die hopelijk op (bij belangrijke pakketten is dat meestal goed georganiseerd).

Linux-distributies zijn bundelingen van een heleboel van die pakketten. De makers van zo'n distributie zijn dus niet de makers van alle software in die distributie. Wel ontvangen die op hun beurt bugmeldingen voor alle software die ze bundelen, kijken of het aan hun ligt of aan "upstream", de eigenlijke makers, en lossen hun eigen fouten zelf op of geven de melding door aan "upstream". Het is ook mogelijk dat ze een probleem in "upstream" zelf oplossen en de reparatie doorgeven aan de eigenlijke makers, zeker als er haast bij is, zoals bij een beveiligingsprobleem. De ene schakel in de ketting helpt dan de andere sterk te blijven.

Om het nog ingewikkelder te maken zijn Linux-distributies vaak weer op andere Linux-distributies gebaseerd. Ubuntu is bijvoorbeeld een afgeleide van Debian. Mint heeft twee varianten, waarvan de een afgeleid is van Ubuntu en de ander rechtstreeks van Debian. Allerlei bugmeldingen en reparaties worden dus ook druk tussen die distributies doorgespeeld.

Als mensen stellen dat de ondersteuning van Linux goed is dan hebben ze het over hoe goed het gaat met belangrijke ("mainstream") distributies, zoals RedHat, Debian en Ubuntu. Er zijn ook obscure distributies waarvan sommige het lang niet zo goed doen.

Fabrikanten van apparaten die voor Linux kiezen zullen zich op zo'n distributie baseren en daar zelf allerlei aanpassingen in doen, ze maken maatwerk voor hun produkt. Die maken feitelijk een eigen Linux-distributie en plaatsen zichzelf daarmee tussen de klant en de distributie waarop ze zich gebaseerd hebben in. Hoe goed dit wordt ondersteund hangt af van de fabrikant. Als dat er een is die hardware wil schuiven en geen kosten wil verspillen (vanuit het perspectief van zijn portemonnee) aan de software op apparaten die al verkocht zijn krijg je dit soort problemen. Die fabrikanten gaan geen klanten waarschuwen die geen updates installeren of de functionaliteit beperken als klanten het nalaten, ze zijn zelf degenen die belangrijke dingen nalaten. Zij zijn dan de zwakke schakel in de ketting.

En natuurlijk zijn de uiteindelijke gebruikers zelf ook een schakel in de ketting. Als zij geen updates uitvoeren, automatische updates uitschakelen of op andere wijzen hun systeem of systemen slecht beheren of configureren dan kan het ook door hun toedoen misgaan.

In de ogenschijnlijk tegenstrijdige uitspraken over goede ondersteuning en grote aantallen apparaten met problemen zegt men "Linux" maar heeft men het over verschillende schakels in de ketting. Strikt genomen is Linux alleen de naam van de kernel waar al die systemen op gebaseerd zijn, maar elke op die kernel gebaseerde installatie wordt met "Linux" aangeduid (ik laat Android even buiten beschouwing). Iemand die het over een goede ondersteuning heeft bedoelt er alleen wat anders mee dan iemand die het over apparaten heeft die geen beveiligingsupdates ontvangen. Wat iemand precies bedoelt moet je vaak uit de context van zo'n uitspraak afleiden.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.