image

Bluetooth-apparaten kwetsbaar voor nieuwe spoofingaanval BLESA

woensdag 16 september 2020, 11:36 door Redactie, 5 reacties

Bluetooth-apparaten zijn kwetsbaar voor een nieuwe spoofingaanval genaamd BLESA, waardoor een aanvaller foutieve of kwaadaardige data naar een apparaat kan sturen. Mogelijk zouden meer dan 1 miljard bluetooth-apparaten en 16.000 apps kwetsbaar zijn, aldus onderzoekers van de Purdue University.

BLESA staat voor BLE Spoofing Attack en maakt misbruik van kwetsbaarheden in de "reconnection" procedure tussen twee eerder gepairde bluetooth low energy (BLE)-apparaten. Geregeld komen gepairde bluetooth-apparaten buiten elkaars bereik. Zodra de apparaten weer in elkaars buurt komen wordt de verbinding automatisch hersteld. De onderzoekers besloten naar deze procedure te kijken. Bij eerdere onderzoeken zou dit onderdeel van bluetooth namelijk geen aandacht hebben gekregen.

Het onderzoek leverde twee ontwerpfouten in BLE op. BLE is ontwikkeld om bij het verzenden en ontvangen van data minder energie te verbruiken. Onder ander sensoren en IoT-apparaten maken er gebruik van. Bij sommige van de BLE-apparaten is de authenticatie tijdens de reconnection optioneel in plaats van verplicht. Bij andere apparaten blijkt dat de authenticatie is te omzeilen wanneer het apparaat van de gebruiker het bluetooth-apparaat niet dwingt om de uitgewisselde data te authenticeren.

Zodoende kan een aanvaller zich voordoen als het bluetooth-apparaat waarmee de gebruiker bijvoorbeeld via zijn telefoon verbinding maakt. Vervolgens zijn verschillende soorten aanvallen mogelijk. Zo kunnen er kwaadaardige toetsaanslagen naar de smartphone of desktop worden verstuurd wanneer die met een bluetooth-keyboard opnieuw verbinding maken. Een andere mogelijkheid is om een verkeerde bloedsuikerspiegel weer te geven wanneer de gebruiker via zijn smartphone data van een bloedsuikermeetapparaat uitleest. Een derde aanval die de onderzoekers noemen is het versturen van valse fitnessgegevens wanneer de gebruiker opnieuw verbinding maakt met zijn fitnesstracker.

"Deze kwetsbaarheid heeft een grote impact op de mainstreamplatformen die BLE-communicatie ondersteunen, waaronder Linux, Android en iOS", zegt onderzoeker Jianliang Wu. "Volgens recent onderzoek maken meer dan 1 miljard BLE-apparaten geen gebruik van applicatielaagbeveiliging, wat als een tweede verdedigingslinie kan dienen." Wu voegt toe dat zeker 8.000 Android BLE-apps met 2,38 miljard installaties de data van BLE-apparaten in plaintext lezen. Mogelijk is de situatie bij iOS-apps hetzelfde, merkt de onderzoeker op.

De onderzoekers waarschuwden Apple en Google. Apple heeft het probleem in juni via iOS 13.4 en iPadOS 13.4 verholpen, zo meldt de universiteit in een persbericht. Het Androidtoestel van de onderzoekers is nog altijd kwetsbaar, zo schrijven ze in het onderzoeksrapport. In onderstaande video wordt de aanval gedemonstreerd.

Image

Reacties (5)
16-09-2020, 12:24 door [Account Verwijderd] - Bijgewerkt: 16-09-2020, 12:25
Ik heb even de slides bekeken, en wat mij opvalt is dat deze kwetsbaarheid gemeld wordt in Ubuntu 18.04. Nu weet ik niet hoeveel mensen nog een OS gebruiken van 2 jaar geleden, maar gezien de upgrades die je krijgt in Linux, komt bij mij de vraag op in hoeverre dit voor Linux Ubuntu (versie 20) nu relevant is?

Maar misschien kan iemand mij hier duidelijkheid over geven?
16-09-2020, 12:44 door Anoniem
Door Advanced Encryption Standard: Ik heb even de slides bekeken, en wat mij opvalt is dat deze kwetsbaarheid gemeld wordt in Ubuntu 18.04. Nu weet ik niet hoeveel mensen nog een OS gebruiken van 2 jaar geleden, maar gezien de upgrades die je krijgt in Linux, komt bij mij de vraag op in hoeverre dit voor Linux Ubuntu (versie 20) nu relevant is?

Maar misschien kan iemand mij hier duidelijkheid over geven?

Ubuntu 18.04 is een LTS release met vijf jaar support.
Sommige distributies, zoals Xubuntu 18.04 LTS hebben drie jaar support. Dus die zijn ook nog geldig op dit moment.
16-09-2020, 12:46 door Anoniem
Ubuntu 18.04 is een LTS-versie, en wordt ondersteund tot april 2023. Krijgt gewoon updates tot die tijd, dus niets mis mee om 18.04 te gebruiken.
16-09-2020, 18:27 door Anoniem
ik zou zeggen, maak vooral nog meer NFC fiches. Koppel daar van alles aan "intelligents" aan.
Neem ze vooral ook in gebruik voor toepassingen bij beroepen in de vitale keten.
Heerlijk slim allemaal.
17-09-2020, 09:45 door Anoniem
wat zou hier de impact nu van zijn voor de corona-app?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.