Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple, Intel en Qualcomm patchen lek in bluetooth-implementatie

Verschillende grote bedrijven, waaronder Apple, Intel, Broadcom en Qualcomm, hebben een lek in hun bluetooth-implementatie gedicht. Dat maakte het voor een aanvaller mogelijk om versleuteld bluetoothverkeer te ontcijferen en berichten te injecteren. Patches zijn inmiddels al uitgebracht.

Het Amerikaanse CERT heeft een waarschuwing gepubliceerd met een overzicht van de acties van de bedrijven, bijvoorbeeld van Apple. De fabrikanten hebben in juni en juli patches uitgebracht. Het lek in de implementaties, aangeduid met CVE-2018-5383, heeft te maken met het opbouwen van een verbinding. Bluetooth gebruikt daarbij een elliptic-curve Diffie-Hellman-sleuteluitwisseling, waaraan bepaalde eisen zijn verbonden. In sommige implementaties, zoals die van de eerdergenoemde bedrijven, worden bepaalde parameters niet gevalideerd, waardoor een aanvaller die zich binnen bereik bevindt de sessiesleutel redelijk eenvoudig kan achterhalen. Zo kan de aanvaller bijvoorbeeld bluetoothverkeer onderscheppen en kwaadaardige berichten injecteren.

De implementatie van Microsoft is volgens het Cert niet getroffen en het is onduidelijk wat de status van Android, Google en de Linux-kernel is. De Bluetooth SIG-stuurgroep heeft eveneens een waarschuwing gepubliceerd, waarin de organisatie stelt niet op de hoogte te zijn van misbruik van het lek. Het schrijft de ontdekking ervan toe aan twee onderzoekers van het Israel Institute of Technology, Lior Neumann en Eli Biham.

Over de aanval schrijft het: "Het apparaat van de aanvaller zou de uitwisseling van de publieke sleutel moeten onderscheppen door elke transmissie te blokkeren en een bevestiging naar het versturende apparaat zenden, om vervolgens binnen een korte periode kwaadaardige pakketten te injecteren richting het ontvangende apparaat. Als slechts een van de twee apparaten kwetsbaar is, kan de aanval niet slagen." De organisatie heeft een update van de bluetoothspecificatie doorgevoerd en zegt tijdens het certificeringsproces te zullen testen op de kwetsbaarheid.

Door Sander van Voorst

Nieuwsredacteur

24-07-2018 • 09:02

43 Linkedin Google+

Reacties (43)

Wijzig sortering
Dit soort lekken is de reden waarom lange-termijn support voor een product belangrijk is. Bij Apple weet je tenminste dat tot een paar jaar na aanschaf je nog wel gedekt wordt.

Overigens, gezien de namen van de partijen (allen zelf chipbakkers!) lijkt het echt om een fout op chipniveau te gaan en niet in bvb. de drivers van het operating system. Microsoft is daarmee volgens mij niet zozeer 'niet' geraakt, als dat het op een ander niveau speelt.. Mijn aanname is dat Windows apparaten totdat ze firmware updates draaien *ook* kwetsbaar kunnen zijn als ze bvb. een qualcomm of intel bluetooth chipset hebben.

[edit]
Na het lezen van de bug, lijkt het erop dat er een onveiligheid in de Bluetooth specificatie zelf zat, waar het valideren van public keys in bepaalde omstandigheden als optioneel werd aangemerkt, terwijl dit 'required' zou moeten zijn. De chipbakkers moeten nu hun firmware aanpassen aan de gewijzigde specificatie.

[Reactie gewijzigd door Keypunchie op 24 juli 2018 09:40]

Ik zou echt zoveel overhebben voor een android telefoon met apple level update beleid :9~
Dan koop je een telefoon die makkelijk naar LineageOS te patchen is ;)
Het is even kutwerk, maar als het er eenmaal opstaat, is updaten een verademing. Ik krijg elke week een update.
Dat lost maar een gedeelte van het probleem op. Met een custom ROM is je OS wel gepatcht maar je drivers niet. Als de fout in de Qualcomm drivers zit kun je je Lineage zo vaak updaten als je wilt maar wordt het probleem niet opgelost.

Zo zit ik zelf ook op lineage 15 maar Trust (Settings>Security & Privacy) geeft heel duidelijk aan dat Android gewoon bij is maar de driver updates dit niet zijn (platform: up to date; vendor: out of date).

Met een vendor als Apple (of vroeger: Microsoft) is alles op je systeem bij, met Android mag je hopen dat je CPU chipset nog updates krijgt over twee jaar.
Volgens mij blijft het ook up2date via Android One. Maar het verschilt ook per Android toestel.
Dat is niet waar. Android One is alleen beschikbaar voor low-budget Google gelicenceerde smartphones. Waar jij denk ik op doelt is Project Treble. Echter is dit ook geen oplossing voor dit probleem. Project Treble zorgt er alleen maar voor dat het basis OS beter te upgraden is, zonder dat daar dus specifieke hardware of smartphone specifieke zaken voor hoeven te worden geŁpdatet/aangepast. Dit zorgt dus indirect voor een soort van LTS op Android versie. Echter is het nog steeds aan de manufacturer om de firmware laag te upgraden.
low-budget is toch Android Go? Android One is wat anders.
Het verschil tussen Go en One is dat One telefoons door Google gelicenceerd zijn. Op dit moment zijn dat die Nokia telefoons. Go is een versimpelde implementatie van Android die hardware fabrikanten vrij mogen gebruiken, net zoals dit het geval is voor "gewoon" Android.
Ok.

Maar One hoeft niet perse low-budget te zijn. De HTC U11 Life was iets van 400 volgens mij. Of is 400 low-budget. Dan heb je gelijk.
Bij mij staat er geen "vendor" in dat scherm.

Ik begrijp het probleem wel. Samsung of Qualcomm of MediaTek of wie dan ook, maakt binary blobs die telefoonfabs maar hebben te slikken, of stikken. De drivers zijn dus closed source, closed alles. Vziw zijn het niet eens driver packages zoals op een desktop OS, maar gewoon letterlijk een image van een partitie, die je maar op je telefoon moet parkeren en dan hopen dat het werkt.

Dit is natuurlijk een ontzettend anti-consument en anti-fabrikant* gang van zaken, maar monopolisten hebben het helaas voor het zeggen, en er zijn geen wetten die dit soort praktijken verbieden. Althans, nog niet.

* Behalve bij Samsung met z'n Exynos, uitgaande van een stock OS.
Dan zijn je drivers en dergelijke nog niet gepatched. laatst had ik dat ik linux booten en die mijn draadloze toetsenbord firmware updaten via apt omdat er een vulnerability zat die keylogging draadloos toestond, je besuuringssysteem is niet het enige wat up to date moet zijn voor de veiligheid. op windows 10 had ik dit nooit geweten en was ook plesant verast. zie bijvoorbeeld broadpwn voor dingen die je niet oplost met nieuwe roms.

[Reactie gewijzigd door t link op 24 juli 2018 11:37]

De Google Pixel telefoons zijn hier toch vergelijkbaar in?
Nou, die Pixels komen nog een paar jaar tekort ten opzichte van Apple. Apple zit rond de 4 a 5 jaar support. Google rond de 2 a 3 jaar.

Maar hoe dan ook. het is in niets vergelijkbaar met de 10 jaar die MS op een desktop Windows installatie levert.
Zeg maar 5-6 jaar voor Apple. iOS 12 zal beveiligingsupdates leveren tot september 2019, voor een iPhone 5S uit september 2013.
Ligt eraan.
Bij de verschillende W10 versies is het anderhalf tot 2 jaar.
Bij Windows 8 was het 3 jaar.
En als je een groot bedrijf bent en veel geld betaalt kan het langer.
Ligt eraan.
Bij de verschillende W10 versies is het anderhalf tot 2 jaar.
Iets verwarrend, de W10 versies zijn oude builds, en omdat je altijd door kan patchen naar een nieuwe build worden oude builds niet meer dan 2 jaar ondersteund (wat dus eigenlijk alweer vrij bijzonder is, sec updates voor oude builds, dat doet bijna niemand). Maar je kan altijd bij werken tot een weer ondersteunde build. Dat is een essentieel verschil. Daardoor kan een W10 PC altijd binnen de ondersteunde versies blijven draaien. Door MS wordt er erg op gepushed dat mensen ook werkelijk updaten naar nieuwe versies, soms wat erg opdringerig, maar dit bewijst dat dit een goede zaak is.
[...]

Iets verwarrend, de W10 versies zijn oude builds, en omdat je altijd door kan patchen naar een nieuwe build
Genoeg klanten gehad waarbij dat helaas niet werkte; dan was een complete heristallatie noodzakelijk en daana pas de programma's erop.
nee absoluut niet, die halen misschien de helft ofzo.
OnePlus geeft een 3 jaar updategarantie.
Nokia heeft dat volgens mij nu ook, nu ze zijn overgestapt op Android One.

Dus er zijn wel fabrikanten.
die komen nog lang niet in de buurt van apple ios update beleid.
Ja eens. Ik gebruik zakelijk nog altijd een iPhone 5S, dat toestel is uit 2013! Ik verwacht dat deze nog 1 IOS rondje mee kan, wat betekend dat ik een volle 6 jaar support heb ontvangen. Erg netjes.
Als je een Android telefoon koopt die nog voor 90 (SE 16GB) tot 226 euro (X 256GB) per jaar van updates wordt voorzien, dan kan je in principe gelijk uitkomen. Vooral als je regelmatig telefoons stuk laat vallen dan is gokken dat je ze toch vaak vervangt misschien logisch.

De eerder genoemde sectie is nogal dun bezaaid. Xiaomi Mi A1 64GB (import), Nokia 6.1 2018 met 64GB, General Mobile GM5/GM6 32GB (misschien maar 1 jaar updates?), Nokia 6 2017 met 32GB, Google/LG Nexus 5X 32GB (oud beestje al, barstend soldeer probleem), Samsung Galaxy A5 2016 16GB, Nokia 3 16GB. Dan heb je het wel zo'n beetje gehad.

Sommige van die toestellen zijn alleen enkel zo snel als een iPhone 5S uit 2013. Gemiddeld genomen zijn Android toestellen zo'n 1,5 tot 2x zo duur per jaar als iPhones. Zeker als je ook nog enigszins vergelijkbare performance zoekt.

[Reactie gewijzigd door Henk Poley op 24 juli 2018 10:49]

Waarschijnlijk zit dit al in je berekening, maar een iphone is na twee jaar nog redelijk wat geld waard. Dat geldt natuurlijk ook voor macbooks en ipads.
Opzig geen slecht idee, maar ik zou het liefst ook een beetje milieu bewust zijn ;) ik heb nog liever dat alles wat ik heb gestolen wordt dan dat ik elke 2 jaar een nieuwe telefoon moet kopen en zo de kinderarbeid en kindsoldaten en weetikveelwat te ondersteunen puur om die diefstal te voorkomen.
Dan ga je ervan uit dat je je telefoon zo lang blijft gebruiken als dat ie updates krijgt. Ik denk dat de meeste mensen dat geen reet interesseert - die willen gewoon een werkende telefoon.
Prima, dan plak je er voor de iPhone nog jaar tegen aan, kom je op 6-7 jaar. De meeste veel gebruikte iOS software ondersteunt huidige iOS minus 1 (zeg maar: "ook die van vorig jaar").

Even een greepje uit apps die ik zoal zou gebruiken, ik game niet; voor browser en video bellen heb ik maar wat alternatieven gezocht.
  • ING Smart Banking (BelgiŽ): Android 2.1
  • Google Authenticator: Android 2.3.4
  • Facebook Lite: Android 4.0
  • Facebook: Android 4.0.3
  • WhatsApp Messenger: Android 4.0.3
  • Skype Lite: Android 4.0.3
  • Puffin Web Browser: Android 4.1
  • Spotify: Android 4.1
  • Inbox by Gmail: Android 4.1
  • YouTube Go: Android 4.1
  • YouTube: Android 4.2
  • Google Translate: Android 4.2
  • Microsoft Translator: Android 4.3
  • Google Duo: Android 4.4
  • Google Maps: Android 4.4
  • Android System WebView: Android 5.0
  • ING Bankieren (Nederland): Android 5.0
  • Memrise: Android 5.0
  • Evernote: Android 5.0
  • Quora: Android 5.0
  • Chrome Browser: Android 7.0
Dus zelfs een anderszins goed functionerende Android telefoon uit 2014, een paar jaar recenter, zou voor mij al geen werkende telefoon meer zijn.

[Reactie gewijzigd door Henk Poley op 25 juli 2018 08:34]

Dat komt dan dus door Chrome. Gelukkig is er een plethora aan browsers beschikbaar voor Android, inclusief Webkit/Blink based browsers (als je dat echt wilt...), die wel op oudere Androids werken.
Nee dat komt (voor mij) niet door Chrome; maar door Evernote, Memrise en de ING app. Android 5.0 is degene uit eind 2014. Alle browsers die WebView gebruiken op Android 5.0+ krijgen gewoon nu een recente Blink v68 binnen, geport vanaf Chrome v68. Je kan inderdaad prima andere browsers gebruiken. Maar Android toestellen zijn in de praktijk gewoon eerder 'obsolete' dan iPhones, omdat apps ze niet meer ondersteunen.

Ik heb ook iets dat zegt, "maar dat kan helemaal niet, Linux & Android zou op dit gebied toch beter moeten zijn?" Maar feitelijk is dat lastig te onderbouwen.

[Reactie gewijzigd door Henk Poley op 25 juli 2018 11:25]

Die is er! (een beetje) Namelijk een Samsung Enterprise Edition, die voorziet de telefoon van minimaal 3 jaar van maandelijkse security- en firmware-updates.

Zoals: https://www.centralpoint....-a530fzkde32-num-8139881/
minimaal 3 jaar is niks, apple zou rellen krijgen als ze hun product maar 3 jaar updaten.
Maar dat is dan nog steeds Samsung, met Samsung's bloatware die niet te deinstalleren is, en Samsung's krampachtige beperkingen en aanpassingen die niet zonder verlies van updates te omzeilen zijn. Dus het is nog steeds een lachertje, en vanuit Samsung feitelijk een volkomen waardeloos product.

[Reactie gewijzigd door _Thanatos_ op 25 juli 2018 10:47]

Volgend dit stuk is Microsoft juist niet kwetsbaar. Lijkt erop dat die het dus in hun drivers al hebben afgevangen...
Mjah, het probleem zit net buiten de bevoegdheid van Microsoft's eigen code zit. Je zal dus echt wel je drivers moeten update, die zijn dus alleen niet van Microsoft. "Niks aan het handje" dus 8)7

Zoals bij Intel's Windows(, ChromeOS en Linux) drivers: https://www.intel.com/con...isory/intel-sa-00128.html

[Reactie gewijzigd door Henk Poley op 24 juli 2018 10:38]

Microsoft levert zelf ook een aantal generic drivers. Bluetooth is er een van, dacht ik.
Misschien fijn om even ergens te vermelden dat de patches al weken terug zijn uitgebracht, maar dat nu pas het precieze probleem bekend gemaakt is.

Zeg maar, voor de mensen die nu meteen op 'zoek updates' gaan klikken, en zich af vragen waar die 'nieuwe' updates dan blijven.
Dat heeft te maken met het kat en muis spel dat gespeeld word, als een bedrijf als Microsoft of Apple een security update uitbrengt word deze meteen geanalyseerd wat hij juist doet. Stel ik meld een zero day, zij weten, ik weet het, zolang niemand anders hem ontdekt kan hij niet misbruikt worden. Van het moment er een update gelanceerd word weet iedereen dat er een zero day is en door die update te analyseren kan je achterhalen hoe je het kan misbruiken.
Immers duurt het even tegen dat die update overal geÔnstalleerd is en al helemaal bij bedrijven die altijd even de kat uit de boom kijken voor ze die installeren. En dan heb je er nog altijd een deel die om welke reden dan ook gewoon geen updates krijgen.

Gevolg, bedrijven lanceren updates en vermelden liefst van al niets van info wat hij juist doet. Pas als hij goed uitgerold is willen ze verdere info geven.
Dat snap ik. Maar zet dus gewoon even in het artikel dat als je de laatste 2-4 weken geŁpdatet hebt, je mogelijk deze patch al binnen hebt.
Alleen is dit voor veel mensen helemaal niet zo'n spannend lek. Iemand moet wel heel veel moeite willen doen om dit bij jou te misbruiken, en zelfs dan kun je er nog niet heel veel mee behalve wat extra info injecteren..
Staat er nu in, thanks!
Dit is minder goed nieuws voor de smarthome apparaten zoals slimme sloten.
Waarom? Mijn slimme slot krijgt gewoon firmware updates. Ik heb een Mul-T-Lock Entr slot en laatst kreeg ik een melding dat ik de nieuwe firmware kon installeren.
Die zijn toch geen BT? Ik dacht dat smarthome-apparaten bijv Z-Wave of Zigbee waren?
Dit slot is BT. Ik heb een app op mijn iPhone waarmee ik hem kan open maken (als ik dichtbij genoeg ben). Daarnaast is de vingerafdruk scanner ook met bluetooth verbonden geloof ik.

Mijn Xiaomi rookmelders, sensoren en schakelaars zijn wel Zigbee, maar de lampen zijn WiFi.

[Reactie gewijzigd door svenmeij op 25 juli 2018 07:34]

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S9 Dual Sim Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True