Vrijwel alle bluetoothapparaten kwetsbaar voor nieuw ontdekte aanval

Een nieuw ontdekte exploit maakt het mogelijk om de verbinding tussen vrijwel alle bluetoothapparaten van de afgelopen tien jaar te kapen. Dan neemt de aanvaller de verbinding met een bestaand apparaat over.

De man-in-the-middleaanval werkt door een zwakkere versleuteling af te dwingen bij het apparaat, waarna die versleuteling makkelijk te kraken is. Dat blijkt uit de paper Daniele Antonioli van Eurecom. De Bluetooth SIG erkent het beveiligingsprobleem en raadt apparaatmakers aan om verbindingen met de zwakkere versleuteling niet langer toe te staan. Het beveiligingsprobleem zit in alle bluetoothversies vanaf 4.2 tot de nieuwste 5.4 en zit in de architectuur. Daardoor is er geen echte fix.

De exploit vereist dat een aanvaller binnen bereik is van twee apparaten die verbinding maken of die al verbinding met elkaar hebben. Door een van die apparaten te spoofen en de zwakkere encryptie af te dwingen wordt het mogelijk de verbinding over te nemen. De kwetsbaarheid is te volgen onder CVE-2023-24023.

De onderzoeker raadt onder meer aan dat apparaten waar mogelijk altijd Secure Connections gebruiken, een bluetoothfunctie die een betere beveiliging biedt bij het maken van de verbinding. Nu vallen apparaten te snel terug op andere manieren van verbinding maken die de aanval mogelijk maken. Het lijkt erop dat gebruikers zelf niets kunnen doen om aanvallen te voorkomen.

BLUFFS bluetooth-exploit, Daniele Antonioli EURECOM, november 2023

Reacties (157)

gotjoen857

30 november 2023 09:36

Dit is best serieus. Digitale sleutels in je telefoon werken voor zover ik weet allemaal op bluetooth.
Digitale sloten dus ook, hiermee wordt het risico dat je auto gestolen wordt best wel erg groot volgens mij, of dat mensen hotel kamers kunnen openen, of andere smart sloten.

Denk dat het enorm tijdsafhankelijk is, dus niet eenvoudig. Maar toch.

evanraalte @gotjoen857 • 30 november 2023 10:54

Het lijkt mij logisch dat ze iets van PKI gebruiken? De publieke sleutels gaan misschien over de verbinding, en kunnen worden onderschept (net zoals op het web), maar de private keys blijven op de devices zelf staan?

jaxxil @evanraalte • 30 november 2023 15:23

Er is nog steeds heel veel mogelijk. Als je de verbinding tussen een auto en een telefoon kaapt kan je aan de telefoon doorgeven dat de auto gesloten is als die dat niet is. Deze vulnerability maakt gebruik van fallback encryption, mogelijk kan je dat ook met een digitale autosleutel doen (en dan via de gekaapte verbinding 1 miljoen samples opvragen waaruit de private key te herleiden is). En wat allemaal nog niet meer, er gaan plekken zijn waar ze te veel gerekend hebben op de encryptie van de bluetooth beveiliging zelf, wat nu open ligt.

the_stickie @jaxxil • 30 november 2023 16:30

Nee autosleutels gebruiken een challenge-response en/of pki bovenop de versleuteling van BT.

jaxxil @the_stickie • 30 november 2023 21:14

Dat snap ik, maar ze zijn er niet op gebouwd dat de BT verbinding gekaapt wordt. Dan worden misschien dingen mogelijk als 1 miljoen samples opvragen om patronen in de challenge-response te vinden. Als je het allemaal goed implement is er geen probleem, maar geheid dat er iemand gedacht heeft "ach, BT heeft toch encryption en het moet maandag af zijn".

Jim80 @gotjoen857 • 30 november 2023 14:12

Kan meevallen... vergelijk het met het onderscheppen van Wifi data, daarmee decodeer je nog geen https inhoud.

d3burt

@Jim80 • 30 november 2023 16:35

De meeste Bluetooth toepassingen doen geen encryptie bovenop het basisprotocol. Met name keyboards en muizen produceren een simpele datastream als je de bluetooth datastream kunt decrypten.

jaxxil @gotjoen857 • 30 november 2023 16:02

Nog een groot probleem: Bluetooth keyboards en muizen. Via die verbinding kan je keystrokes afluisteren en keypresses sturen naar systemen. Je kan hele malware programmas injecteren via de command prompt binnen een paar seconden met het juiste programma.

MazDaMan1970 @gotjoen857 • 30 november 2023 16:22

Dan ben je wel erg naief als je bluetooth als sleutel gebruikt. Hoe vaak is Bluetooth wel niet negatief in het nieuws gekomen, aangaande security risico's?
Net zoals met Windows is backwards compatibility een enorm veiligheidsrisico.

84hannes @MazDaMan1970 • 1 december 2023 10:41

Dan ben je wel erg naief als je bluetooth als sleutel gebruikt.

Ik vermoed dat Bluetooth niet echt als sleutel wordt gebruikt, maar als medium om sleutels te transporteren. Het leuke aan encryptie is dat je iets met goede encryptie prima over een slecht versleutelde verbinding kunt sturen.

MazDaMan1970 @84hannes • 1 december 2023 11:26

Zou kunnen, maar ik vermoed dat lang niet alle merken dat goed implementeren. Zelfs iets bassaals als smartkeys, zijn al slecht beveiligd, dus sorry dat ik niet zoveel vertrouwen erin heb...

84hannes @MazDaMan1970 • 1 december 2023 12:08

Zou kunnen, maar ik vermoed dat lang niet alle merken dat goed implementeren.

Als de sleutel niet veilig geïmplementeerd is zou ik het ook niet zonder Bluetooth willen gebruiken. Ik heb geen enkele illusie dat een fabrikant die de beveiliging via Bluetooth niet op orde heeft wel te vertrouwen is als ze hun eigen RF-protocool bouwen.

morphje @MazDaMan1970 • 4 december 2023 11:09

Wat dacht je van praktisch elke Tesla? Kijk eens hoe cool, ik heb geen sleutel nodig

En elk ander merk die dat concept gekopieerd heeft (aka praktisch elk ander courant automerk)

MazDaMan1970 @morphje • 5 december 2023 09:49

Ja, zeker bij dat soort gewilde auto's is het risico erg groot.

Vogel666 @gotjoen857 • 1 december 2023 03:49

Wat dacht je van een toetsenbord waarop iemand nietsvermoedend een wachtwoord intypt...
Dat blijkt dus net zoiets te zijn als je wachtwoord door de ruimte schreeuwen.

Clevergyno 30 november 2023 10:46

Ben benieuwd of dit invloed heeft op bluetooth aangestuurde diabetes pompen / pods en continiues glucose meters. Kan mogelijk best wat impact hebben als het in de hardware zelf zit.

Finraziel

30 november 2023 07:24

Ok, overnemen is een ding, maar het lijkt me dat je hiermee ook effectief kan afluisteren (door er tussen te gaan zitten). De meeste Bluetooth verbindingen lijken me niet zo interessant om over te nemen maar een keyboard is wel interessant/gevaarlijk omdat je dan dus een keylogger op afstand kunt inzetten. In een appartement of soortgelijk waar kwaadwillenden eventueel in range kunnen komen zou ik denk ik dus maar geen Bluetooth keyboards meer inzetten...

sigmundfreund @Finraziel • 30 november 2023 08:00

Moet je wel interessant genoeg zijn om een target te zijn, iets wat vaak vergeten wordt bij dit soort berichten.

sympa @sigmundfreund • 30 november 2023 08:49

Wat denk je ervan dat het ene device ('slimme' lamp met wifi en bluetooth) het andere device (bluetooth toetsenbord) gaat aanvallen?
En die 'slimme' lamp zou massaal gehackt kunnen zijn. En dan heb je toch je interessante doelen binnen handbereik. Zeker als de app die bij de lamp hoort informatie doorspeelt waar je uit kan afleiden wie er een interessant target is.

D_el_p @sympa • 30 november 2023 11:08

Ik denk dat dat wel meevalt. Ik kan het verkeerd hebben, maar volgens mij werkt veel "slimme" apparatuur op Bluetooth Low Energy (BLE), net zoals (steeds meer) andere bluetooth apparatuur. In de paper geven ze aan dat de aanval gericht is op Bluetooth Classic.

Daarnaast is om de aanval uit te voeren ook nog steeds een 3-tal nonces en een bijbehorende weak-session key benodigd. Om een dergelijke key te achterhalen kost ook nog wat tijd (uit 4.1 van de paper):

Based on prior work breaking symmetric cryptosystems with seven bytes of entropy, such as the data encryption standard (DES) [ 22 , 35 ], we estimate a moderate effort for a low-cost attacker using commercial equipment (e.g., one to several weeks) and a low effort for a decently funded attacker using distributed computing or optimized hardware (e.g., one to several days)

Nadat de session key is gekraakt kan deze wel gebruikt worden om eerder onderschept verkeer te ontsleutelen en nieuwe sessies op te zetten. Maar om de aanval nou eventjes in de trein uit te voeren lijkt me op dit moment nog niet plausibel

sympa @D_el_p • 30 november 2023 11:33

Dat valt inderdaad mee en ligt niet helemaal open. Jammer dat ik je niet kan plussen.

Fireshade @D_el_p • 30 november 2023 17:29

Een aanval op Bluetooth smart apparatuur zal inderdaad niet lukken, omdat die allemaal BLE gebruiken.
Volgens mij komt daar bovenop ook nog dat momenteel de meeste 'slimme' apparatuur (nog) niet op Bluetooth LE werken, maar op protocollen als Zigbee, Z-Wave, e.d.

Vooral input/output apparatuur zoals keyboards, headsets e.d. lopen gevaar.

23m3 @sigmundfreund • 30 november 2023 08:17

Ik denk dat je er nooit van uit moet gaan dat je 'toch niet interessant' bent. Het gaat misschien lang goed maar zo ben je niet goed bedacht op situaties waar je dat opeens wel bent.

Finraziel

@sigmundfreund • 30 november 2023 09:01

Ik denk dat de meeste mensen interessant worden als je het hebt over bijvoorbeeld bank logins. Gamers zijn ook vaak interessante targets als ze bv counterstrike spelen of een andere game met te gelde te maken accounts. Of wat dacht je van Amazon accounts met opgeslagen betaalgegevens? Nee je bent interessanter om te hacken dan je denkt.

jreinhoud @Finraziel • 10 december 2023 16:23

Alleen al om als onderdeel van een Bot netwerk te worden gebruikt is iedereen en zo ongeveer elk apparaat interessant

CEx @sigmundfreund • 30 november 2023 09:38

Zolang het relatief veel moeite kost om op te zetten. Zodra het op grote schaal te automatiseren is wordt iedereen een target.

the_stickie @CEx • 30 november 2023 13:09

iedereen een target

Van wat dan? Zover ik begreep, kan een aanvaller met deze kwetsbaarheid 'enkel' data afluisteren of manipuleren die over deze verbinding gaat volgen het bt profiel.
Voor een massa aanval is dat simpelweg niet interessant.
Voor een targeted attack misschien wel, maar dan zijn er weer makkelijker manieren.
Imho hoeft niemand zich hierom zorgen te maken, behalve dan 'high profiles', die als het goed is nu ook al niet met bluetooth of wifi aan de slag gaan in de publieke ruimte.

CEx @the_stickie • 30 november 2023 13:49

Mensen zijn creatief, maar denk aan onderscheppen telefoonsleutels voor auto's op populaire plekken (IKEA, luchthaven). Credentials op werkplekken (BT keyboards).

Maar nogmaals mensen zijn creatief en deze kwetsbaarheid kan in zijn eentje uitgebuit worden, maar wellicht ook onderdeel van een vector met meerdere kwetsbaarheden gecombineerd.

the_stickie @CEx • 30 november 2023 16:28

Mensen zijn zeker creatief, maar criminelen kiezen ook 99,9% van de tijd de makkelijkste optie.
Mij lijkt het dat je de bron niet goed hebt nagelezen (nofi). Telefoonsleutels voor auto's onderscheppen is hiermee nagenoeg onmogelijk, zeker niet als je slechts kortstondig toegang zou kunnen verkrijgen tot een bt verbinding zoals op een luchthaven of in de ikea. Het werkt immers door data tussen de devices te manipuleren (om zwakkere encryptie af te dwingen), dan af te luisteren en later de decrypten (wat toch, ondanks de verzwakte encryptie, nog eens een hoop tijd kost). Veel succes als je target gewoon zijn auto afsluit/opent en dan wegloopt/rijdt. Bovendien gebruiken dat soort 'sleutels' zover ik weet een challenge/response methode, waardoor je niets bent met enkele samples.
Credentials onderscheppen van een keyboard op de werkvloer is een heel klein beetje realistischer, maar daarvoor moet je een hele tijd dichtbij je target zijn (=enorm risico) en weerom achteraf nog aan de slag in de hoop je gewenste credentials gebruikt zijn. Dan zijn er een heel aantal eenvoudigere manieren, denk aan goed old phishing, malware of zelfs een hardware keylogger, die minder ingrijpend en risicovol zijn.

Nappie @sigmundfreund • 30 november 2023 10:39

Je bent al snel interessant voor een aanvaller die dingen uit wil halen die niet naar henzelf te herleiden zijn. In combinatie met een bluetooth keyboard lijkt mij dat ideaal voor een aanvaller: wat ie ook uithaalt, jij krijgt de schuld.

TheVivaldi @sigmundfreund • 30 november 2023 11:31

Hoezo zou dat moeten? Bij bijvoorbeeld auto's gaan ze ook niet af op alleen de allerduurste. Oké, ook niet op een Golfje uit 1992, maar een Renault Talisman uit 2020, een Fiat 500 uit 2021 of een Ferarri nog-wat uit 2021 maakt geen enkel verschil. Als ze er brood in zien, zien ze er brood in. En dat geldt voor dit soort aanvallen ook.

Aldy @TheVivaldi • 30 november 2023 16:33

Ik denk dat het sowieso interessant is om te inventariseren wat er allemaal bij jezelf via bluetooth gaat. Ik vraag mij bijvoorbeeld af of het portier van mijn auto werkelijk via bluetooth geopend en gesloten wordt en hoe zit het met keyless starten?

Verwijderd @Aldy • 30 november 2023 16:43

Het zal wel via bluetooth gaan, maar ik ga er dan ook vanuit dat het niet enkel een signaaltje is van 'ga open', maar dat er over BT als drager nog een veilig protocol draait met key exchanges, enzovoorts.

Dat hele keyless is volgens mij NFC. Ik kan bijvoorbeeld enkel keyless starten als de sleutel ook echt in de cabine is.

[Reactie gewijzigd door Verwijderd op 24 juli 2024 08:23]

Aldy @Verwijderd • 30 november 2023 16:52

Ja, en uit mijn Faraday-mapje.

Heb nooit geprobeerd om te starten als de sleutel buiten de cabine is.

the_stickie @Aldy • 30 november 2023 21:32

Als m'n kids op de achterbank de sleutel hebben, kan ik niet starten. Als die op de passagierszetel vooraan ligt weer wel. Idem voor de deuren: de sleutel moet echt binnen een meter zijn. (Het knopje op de sleutel werkt wel op pakweg 50m voor alle duidelijkheid) VAG wagen van 5 jaar oud btw.
Overigens is geen van beide bluetooth.
De enige bluetooth 'sleutels' zijn apps op smartphones. Die gebruiken dan weer challenge-respons en cryptografische methodes alla pki (met public en private keys).

Aldy @the_stickie • 30 november 2023 22:16

Vermoedde al dat de sleutels niet via bluetooth werkten. Volgens mij werkt er geen enkele app op mijn telefoon met pki, dus zal ik wel kwetsbaar zijn. Gelukkig heb ik geen toetsenbord met bluetooth, lijkt mij echt link. Maar mijn laptop en mijn telefoon zijn wel verbonden via bt. Ga eens kijken of dat beveiligd is.

MazDaMan1970 @sigmundfreund • 1 december 2023 11:28

Tegenwoordig is een middenklasse EV al interessant genoeg, om te stelen ;-)

Martinspire @Finraziel • 30 november 2023 08:46

Maar je neemt de verbinding over dus de gebruiker zal niet meer kunnen typen toch?

Verder hoef ik door mijn wachtwoordmanager vrijwel nooit meer een wachtwoord in te voeren, dus zullen ze niet meer pakken dan de teksten die ik schrijf en dat lijkt me niet bijster interessant. Nou snap ik dat dat niet voor iedereen geldt, maar het is niet zo interessant als men denkt, omdat je er zoveel data uit moet filteren.

[Reactie gewijzigd door Martinspire op 24 juli 2024 08:23]

Finraziel

@Martinspire • 30 november 2023 08:58

Je spooft de pc richting het toetsenbord en je spooft het toetsenbord naar de pc en geeft gewoon alle verkeer door, naast dat je het zelf logt natuurlijk. En ik gebruik ook een password manager, maar die moet ik af en toe ook unlocken met een password. Bovendien werkt die niet voor mijn Windows wachtwoord (vooral relevant als ik thuis werk en waarmee dit dus een attack vector op mijn werkgever wordt).

Martinspire @Finraziel • 30 november 2023 12:03

Daarvoor heb ik biometrie ingesteld, dus ik hoef daar niks voor te typen.

BounceMeister 30 november 2023 07:14

Dit is toch wel een groot probleem aangezien zowat alles is voorzien van Bluetooth en je bij het grootste deel van de apparaten geen update zal krijgen.

ultimasnake @BounceMeister • 30 november 2023 07:55

Mogelijk wel, maar vraag me af hoe dat zit met de devices waar het toe doet. Dat je (naam hier) draadloze koptelefoon kwetsbaar is betekend niet dat het direct een probleem hoeft te zijn voor je (telefoon naam hier) die via software misschien al de chip in een beveiligde omgeving heeft zitten.

Ik vraag me dus af wat de exacte impact zal zijn, iemand een idee?

System @ultimasnake • 30 november 2023 08:35

Waarschijnlijk kunnen ze afluisteren, maar gezien de geringe rekwijdte zou dat wel moeten meevallen.
Bluetooth keyboards zouden ze eventueel passwords kunnen ontflutselen.
Maar als ik zie wat mijn telefoon allemaal door stuurt naar mijn smartwatch via bluetooth...
Maar voor de meeste mensen zal de impact van dit lek minimaal zijn volgens mij.
Je moet nu al per toestel opgeven wat zijn rechten zijn op uw laptop of telefoon.

[Reactie gewijzigd door System op 24 juli 2024 08:23]

keejoz @System • 30 november 2023 09:19

Afluisteren is het probleem niet volgens mij gezien je de verbinding afneemt van de andere. Waar ik zelf aan denk zijn bv de klassieke USB rubber ducky attacks die nu draadloos en vanaf afstand over BT kunnen uitgevoerd worden.

the_stickie @keejoz • 30 november 2023 21:45

Het gaat net erom dat je de versleuteling van de verbinding kan afzwakken zodat je met genoeg afgeluisterde data de sleutel kan terugrekenen bruteforcen (wat nog steeds een dag tot een week duurt). Eventueel kan je door die sleutel dan later een mitm doen.

Correctie: de aanval maakt gebruik van bruteforcen, niet terugrekenen

[Reactie gewijzigd door the_stickie op 24 juli 2024 08:23]

PhilipsFan @System • 30 november 2023 11:17

Ik zie vooral die toetsenborden als een probleem. Op kantoor zou ik dus, met geprepareerde hardware, vrij makkelijk kunnen meeluisteren met wat collega's typen, dus ook persoonlijke mails of wachtwoorden, zonder dat ze het zelf doorhebben.

Ik ben heel benieuwd of hiervoor ook een formware update van het toetsenbord nodig is, want veel toetsenborden zullen hier geen voorziening voor hebben. Of is alleen een update van de Bluetooth stack op de PC voldoende om dit lek dicht te stoppen?

System @PhilipsFan • 30 november 2023 18:13

Het is simpel op te vangen.
Wachtwoorden kan je intypen met het schermtoetsenbord.

Verder is kantoor wel de laatste plaats waar ik me zorgen zou maken.
Maar dat zal overal anders zijn uiteraard

Op firmware updates zou ik niet hopen. Dit klinkt als een probleem met het protocol zelf.
Dus heb je een nieuwe bluetooth versie nodig.

djunicron @System • 30 november 2023 15:37

Heb iemand eens met z'n Flipper een BT 5.0 headset op APT-X laten kraken. Duurde 12 minuten ofzo. Dat is vrij kort voor iemand die dit ad hoc besluit eens te doen. Daarna was het met wat extra moeite te doen om één kant op het geluid te beluisteren. Dus of de speaker of de microfoon.

BT keyboard waren al jaren niet toegestaan en met goede reden. BLE of regulier, binnen een minuut is het een keylogger. Kom je vervolgens ook nog eens niet achter.

Maar wat "nieuw" is aan deze leak is dat er nu een nieuwe vrij universele optie bij is gekomen. En dat dit dus bijzonder snel kan werken op b.v. een laadpaal op de oprit, een versterker, presentatie tool, oortjes, auto's, BT deursloten, etc.

Denk dat dit voor bedrijven maar ook privé gebruikers van dit soort connected infra wel lastig kan worden. Het zijn zeg maar net die dingen die wél een beetje beveiliging nodig hebben, maar niet zoveel dat er extra encryptie op hoeft. Of het gaat om hardware die het aan de BT kant wel red, maar verder zeer zwakke hardware heeft wegens de functionaliteit (keyboards, keypads, audio). Toch vervelend als iemand met weinig moeite je laadpaal kan ontgrendelen en even 30-70KWh tapt... (Niet praktisch, want je hebt zo een kenteken enzo... maar toch)

bilgy_no1

@ultimasnake • 30 november 2023 08:09

Ja en ik vraag me ook af hoe iemand de makkelijker te kraken encryptie dan alsnog gaat kraken. Hoe lang is er bijvoorbeeld nodig dat een aanvaller ertussen zit.

Ook is mij onduidelijk wat ze dan precies kunnen doen. Bijvoorbeeld: hij zit tussen je telefoon en je ear buds: wat kunnen ze dan precies doen? Afluisteren wat je luistert/zegt? Of is dit ook een vector om op je telefoon te komen?

Dat soort zaken.

Skit3000

@bilgy_no1 • 30 november 2023 09:32

In het artikel staat dat de aanvaller de verbinding met een bestaand apparaat over kan nemen. In het geval met ear buds en een telefoon zouden beide verbindingen dus gekaapt kunnen worden en het geluid via de machine van de aanvaller gerouteerd kunnen worden. Niet heel handig, maar ook niet een al te groot probleem want iemand die al dichtbij genoeg kan komen om je bluetooth signaal op te pikken kan waarschijnlijk ook wel met of zonder andere apparatuur fysiek afluisteren.

TheVivaldi @Skit3000 • 30 november 2023 11:34

Het is niet alleen een kwestie van afluisteren, er zitten ook microfoons op. Stemvervormer erbij en je kunt vanaf heel dichtbij iemand behoorlijk bang maken, zowel als grap als serieus (bijvoorbeeld een stalker). En gezien het bereik 10 meter is, kun je best op een aardige afstand gaan zitten waar de persoon je niet in de gaten heeft (zal moeilijker zijn in een drukke trein of vliegtuig, maar in een rustige straat of rustig parkje, of als je je buren wilt sarren, heb je die vrijheid wel).

[Reactie gewijzigd door TheVivaldi op 24 juli 2024 08:23]

Skit3000

@TheVivaldi • 30 november 2023 11:46

Je hebt gelijk, maar voor die gevallen heb je dus niet persé Bluetooth nodig want ik ga er van uit dat iemand die op 10 meter komt in de meeste gevallen ook fysieke toegang tot je apparaten kan krijgen (en er dan dus écht alles mee kan doen).

Voor (beveiligde) kantoorpanden lijkt me dit wel een risico, wanneer een aanvaller in het naastgelegen gebouw binnen kan komen en op die manier iedereen die op minder dan 10 meter van de gedeelde muur is af kan luisteren. Een beetje hetzelfde idee als deze mannen met hun auto op de parkeerplaats van het hotel naast de OPCW.

Als de kwetsbaarheid uit dit artikel makkelijk genoeg uit te buiten is/wordt, komen er vast policies bij bepaalde bedrijven dat je geen Bluetooth aan mag hebben staan.

Da Dude @TheVivaldi • 1 december 2023 08:52

Gezien gehoorapparaten ook via bluetooth werken tegenwoordig, is dat wel een issue als ze hier ook geluid naartoe zouden kunnen zenden. Ik heb geen zin dat ik dan opeens stemmen ga horen die er niet zijn.

TheVivaldi @Da Dude • 1 december 2023 11:48

Dat is ook een probleem, inderdaad.

Lord Anubis @TheVivaldi • 1 december 2023 11:38

Klopt, gezien in Gent tijdens de Gentse feesten, net voor de covid. Zaten paar gasten uit Nederland mensen daar te klieren via BT. Zag de restaurant baas snel stilletjes de politie erbij halen, liepen daar in de buurt. Van 1 was de telefoon afgepakt en de rest tik op vingers en niet meer doen he. Sommigen terras gangers konden er om lachen. Sommigen keken zelfs omhoog. Weet niet precies wat en hoe ze het deden maar er kwamen vreemde geluiden uit de mobieltjes.

Bazer @bilgy_no1 • 30 november 2023 10:57

Het lijkt erop dat de aanvaller de verbinding overneemt, niet er tussenin blijft zitten. Afluisteren lijkt dus niet te lukken maar je zou bijv wel een toestsenbord kunnen overnemen en iets tikken wat niet van diegene komt (om bijv in te loggen)

Maar dan nog moet je binnen bereik zijn

bilgy_no1

@Bazer • 30 november 2023 11:08

Maar hoe zou de aanvaller dan je toetsenbord op je telefoon over kunnen nemen? Als je telefoon bijv. gelocked is en er alleen maar muziek naar je earpods wordt gestreamd. Voor zover ik zie wordt die verbinding gekaapt, maar dan zit die aanvaller nog niet opeens ongelimiteerrd in je telefoon lijkt me.

Of bedoel je dat in het geval van een Bluetooth toetsenbord bij een PC?

orvintax @bilgy_no1 • 30 november 2023 11:52

Of bedoel je dat in het geval van een Bluetooth toetsenbord bij een PC?

Weet vrij zeker dat ie dat bedoeld.

lenwar

Beveiliging en antivirus

@ultimasnake • 30 november 2023 08:38

Dat ligt er aan.
Een draadloos toetsenbord is natuurlijk wel een potentieel probleem als die zo afgeluisterd kan worden)
Een headset, kan een ding zijn als je een gesprek kan afluisteren/overnemen.

En in het extreemste geval (standje paranoia), zou bij een andere bekende kwestsbaarheid het betreffende apparaat gehacked kunnen worden en er malware op gezet worden. (Dit laatste zijn natuurlijk meer zaken voor nodig om het een probleem te laten worden)

Bluetooth wordt voor heel veel zaken gebruikt. Inter-apparaatcommunicatie, zowel industrieel als medisch. Al verwacht/hoop ik dat die categorieën wel altijd sterke versleuteling afdwingen.

mocean @ultimasnake • 30 november 2023 08:47

Een draadloze koptelefoon verbonden met de telefoon kan wel al bellen, telefoontjes opnemen, etc. Ik weet niet wat er meer mogelijk is via die verbinding, maar contacten opvragen vast ook wel (dat kan mijn auto ook). Die data is weer goed te gebruiken voor scam-sms. Dus zelfs een koptelefoon-mobiel verbinding lijkt me best gevoelig.

robsky @BounceMeister • 30 november 2023 08:11

Deze aanval, dat dit nu nog kan in deze tijd is diep treurig. Dit type aanval bestond al in het 2G en 3G tijdperk voor GMS verkeer. Er waren 5 crypto suites gedefinieerd waarvan er 2 express zwak waren om de ilichtingendiensten het mogelijk te maken het verkeer te ontsleutelen.
Het is precies dezelfde aanval, het base station in dit geval, vraagt de telefoon om over te schakelen naar een van de 2 zwakke crypto suites. Dat is hoe GSM interceptie werkt, een fake base station dicht bij de telefoon die je wil tappen plaatsen en die dus een zwak protocol vraagt van de handset.

Deze bluetooh aanval is eigenlijk precies hetzelfde eigenlijk. De impact is natuurlijk minder dan van GSM maar toch.
Als ik eens tijd heb, ga ik maar ees uitvissen hoe deze protocol flavours tot stand zijn gekomen. Misschien speelt hier ook eenzelfde overweging als bij GSM toen?

JeroenH @robsky • 30 november 2023 08:28

Volgens mij zie je Hanlon's Razor over het hoofd.

michielonline @robsky • 30 november 2023 09:12

En vergeet het SMB 1.x debacle van Microsoft niet. Daar zijn ze ook 10 jaar mee bezig geweest om dit uit te faseren. Blijkbaar niet veel van geleerd. In de basis is het een slecht idee dat de client kan bepalen wat het security level van de verbinding moet zijn.

Ik begrijp dat je in het kader van backwards compatibility hier iets mee moet doen in je handshakes tussen client en device, echter dat in BT 5 nog steeds crypto suites toegestaan worden uit de beginjaren van bluetooth is diep triest. Je zou al kunnen beginnen met een n-2 strategie waarbij je enkel de laatste twee generaties ondersteund, daarmee is de impact op functionaliteit beperkt.

[Reactie gewijzigd door michielonline op 24 juli 2024 08:23]

MiesvanderLippe @BounceMeister • 30 november 2023 09:05

Is het niet gewoon opgelost als een van de twee apparaten aangeeft de cryptografie niet te ondersteunen? Dan ben je er ook. Windows update + MacOS en iOS en het is wel voor 98% klaar met alle relevante usecases.

Dat is bijvoorbeeld bij SSH. Je kunt een server hebben die geen encryptie, zwakke encryptie en sterke encryptie ondersteunt maar als je client zegt van laten we het niet doen gaat het alsnog goed.

JeroenH @MiesvanderLippe • 30 november 2023 10:00

Bedenk eens hoeveel Windows 7 computers er nog "gewoon" in productie gebruikt worden, bedenk verder hoeveel Windows 10/11 computers geen updates krijgen, en ik denk dat je percentage (flink) lager zal liggen.

ShatterNL 30 november 2023 08:44

Ja het is een groot security probleem, maar de range van een BlueTooth verbinding is toch ook echt maar 10 meter ofzo toch? Dan moet je als aanvaller dus wel erg dicht in de buurt zitten of snap ik dit dan verkeerd?

multikoe @ShatterNL • 30 november 2023 08:55

Je kunt in de trein naast iemand gaan zitten die BT oortjes in heeft. Of in het vliegtuig naast iemand die op z'n laptop naar films kijkt met een BT koptelefoon op.
In de trein en in het vliegtuig heb je al snel tientallen mensen binnen een straal van 10 meter...

MrMonkE @ShatterNL • 30 november 2023 09:04

Je zou een 'repeater' kunnen dumpen bij/in het bedrijf die verder via andere kanalen loopt. Internet, mobielinternet. Dan kun je gaan keyloggen als je een toetsenbordt 'hoort'. Dat soort zaken denk ik.

Botmeister @ShatterNL • 30 november 2023 08:58

Die 10 meter is geen punt, want iedereen wil bluetooth in zijn auto. Al rijdend krijg je genoeg opties om hack pogingen te doen. Files worden dan helemaal fantastisch voor de kwaadwillende

Edit: https://www.bluetooth.com...oth/key-attributes/range/
"The effective, reliable range between Bluetooth devices is anywhere from more than a kilometer down to less than a meter."

[Reactie gewijzigd door Botmeister op 24 juli 2024 08:23]

HenkEisDS @ShatterNL • 30 november 2023 10:18

10 meter met een standaard bluetooth module inderdaad. Je hebt ook modules die krachtiger zijn en je daarnaast kunt voorzien van betere (richt) antennes. Dan moet 100 meter wel haalbaar zijn.

CivLord

@ShatterNL • 30 november 2023 11:07

Die range is beperkt tot 10 meter door het uitzendvermogen van de zender en de gevoeligheid van de ontvangstantenne.
Wanneer je een apparaat hebt met een gevoeliger ontvanger en sterkere zender, kan je die range zonder problemen oprekken. In theorie totdat het ontvangstsignaal ten onder gaat in de ruis van de atmosferische storing of teveel gedempt wordt door obstakels. Dat kan dus vele honderden meters zijn met de juiste apparatuur.

Madshark

@CivLord • 1 december 2023 02:16

Die 10 meter overbrug je natuurlijk makkelijk met een Raspberry Zero + UPS hat en een 4G module.
Dit past allemaal in een doosje, ongeveer de helft van een pakje sigaretten. Plak dit ergens buiten aan een raamkozijn, en je kunt van overal op de wereld aan de slag.

BezurK @ShatterNL • 30 november 2023 11:09

Tenzij je slachtoffer een bluetooth keyboard gebruikt en je effectie dus een draadloze keylogger kunt maken. Ik zie wel wat mogelijkheden...

Ootje70 @ShatterNL • 30 november 2023 11:30

Ik kan in veel situaties in een range van 10 meter rondom mij heen (station, trein, vliegtuig) of gewoon in een café veel personen raken die een BT verbinding hebben voor koptelefoon, smartwatch etc.

mangahuisman @ShatterNL • 30 november 2023 19:59

Standaard 10 meter met een hele kleine antenne wat als je een grotere richtantenne bouwt of eventueel signaal versterkt?

Alvin1555 30 november 2023 07:50

Headsets, airpods, toetsenborden, muis, autoradio.

Het wordt toch vast wel ergens een beetje vervelend als je volgende laptop en/of telefoon niet meer backwards compatible is en alleen maar de nieuwste versie van bluetooth ondersteund.

BounceMeister @Alvin1555 • 30 november 2023 08:24

Niet alleen de autoradio, het hele systeem van de auto is gekoppeld aan je telefoon o.a. met Android Auto of Carplay. Wie weet wat ze straks allemaal kunnen doen met je auto.
Ook Philips Hue (verlichting) heeft Bluetooth tegenwoordig. Hopen dat je dat uit kunt zetten via de app en alleen via de bridge je lampen kunt aansturen.

Crazy D @BounceMeister • 30 november 2023 08:27

Dan kunnen ze een ander muziekje opzetten in je auto... Wat denk je, dat je via Android Auto of CarPlay de remmen of het gaspedaal kunt aansturen?

Gamebuster @Crazy D • 30 november 2023 08:57

Natuurlijk kan je de gaspedaal of rem niet bedienen via Android Auto of CarPlay.

casd18 @Gamebuster • 30 november 2023 10:24

maar bij sommige auto's is het wel mogelijk via een app de auto te openen/op slot te doen, te starten, kofferbak open te maken etc. etc.

En dat soort gizmo's worden in steeds grotere mate aan een bepaald segment auto's ingebouwd. Lijkt mij best kwetsbaar.

Gamebuster @casd18 • 30 november 2023 11:09

dat gaat ook niet via bluetooth (helaas... het gaat via de servers van de fabrikant) en je kan nog steeds de rem of gas niet bedienen.

thetakman @Gamebuster • 30 november 2023 14:01

Dat klopt, bij Tesla bijvoorbeeld (model 3, Y en de nieuwere Model S etc) hebben de internet verbinding met de server nodig voor airco, ramen etc etc.

Echter... het enige wat wel kan met enkel een bluetooth verbinding is het openen, en starten van de auto als een bluetooth telefoon is gekoppeld als sleutelkaart.

Ik denk dat iemand die hier misbruik van wilt maken, niet erg geinstresseerd is in mijn airco, maar wel in het openen van de deur/ meenemen van de auto/ pakken van de spullen in de auto.

casd18 @thetakman • 30 november 2023 15:56

Overigens is dit ook een bekende kwetsbaarheid bij keyless entry en start systemen hoor. Maar nu is ook deze methode via blijkbaar bluetooth kwetsbaar.

Gamebuster @casd18 • 30 november 2023 21:22

niet specifiek. Als er encryptie gebruikt wordt over de verbinding, of een andere vorm van beveiliging, kan je er alsnog niets mee.

Gamebuster @thetakman • 30 november 2023 21:21

Dat is wellicht waar, maar als je terugleest ging deze specifieke discussie over gas geven en remmen

Zoop @Crazy D • 30 november 2023 09:21

Het gaat meer om alle persoonlijke gegevens die eruit te halen zijn, en wellicht zelfs wat technische log informatie van de auto, om te tracken waar je allemaal naartoe gaat. En hoe zit het met de keyfob en deuren? Zijn deze systemen compleet van elkaar gesloten, of zit daar een connectie?

Wellicht geen gaspedalen, maar wel een deur open doen om hem te jatten wellicht.

Hoe dan ook zijn dat alweer wat extremere dingen, het meest simpele, je data jatten, is al kwalijk genoeg.

Twanne @Crazy D • 30 november 2023 09:30

Ze zullen je auto niet kunnen aansturen, maar Carplay etc hebben wel toegang tot je telefoonsgegevens en de bijhorende contacten.
Daarnaast zijn sommige garage openers Carplay compatible. Misschien een vector voor inbraken?

tweakje12 @Alvin1555 • 30 november 2023 09:09

Dan zou je een USB Bluetooth dongle kunnen gebruiken voor je laptop die nog wel aan de oude standaard voldoet, inderdaad een beetje vervelend maar wel op te lossen. Voor een smartphone wordt het al wat lastiger

-=bas=- 30 november 2023 07:22

Gaat leuk worden met al die Bluetooth keyboards!
Werkt Windows-R nog steeds om een terminal te openen die direct gefocussed wordt zodat alle opeenvolgende keyboard input ook direct ingevoerd wordt?

The-Source @-=bas=- • 30 november 2023 08:09

In theorie is gelijk openen met admin rechten ( -RunAS achter powershell venster bijvoorbeeld) pijltje 1x links > [enter] en daarna kan je lekker los.
Lokale user moet dan natuurlijk wel admin rechten hebben. Maar het is in ieder geval nog een extra reden om minder bluetooth te gebruiken.
Overigens kan je met car-kits emulatie ook de contactpersonen uitlezen en sommige ook SMSjes dus met MFA via SMS kan er zelfs extra risico zijn.

the_stickie @The-Source • 30 november 2023 08:33

Ctrl-shift-enter om als administrator te openen! Dan kom je als gewone gebruiker wel op een loginprompt en als admin op de secure desktop. Beide zijn lastig(er) te automatiseren dmv scripting.
Windows-r opent overigens de runbox. Dat is geen volwaardige terminal, maar je kan van daar wel een cmd of powershell draaien.

Om even meer ontopic te gaan; toetsenborden met bluetooth zijn afaik niet zo veel voorkomend. In iets of wat secured omgevingen (veiligheidsdiensten, financiële wereld,...) zijn ze meestal verboden, in veel bedrijven uitgesloten (of niet standaard) owv kost. Bovendien zijn de meeste draadloze toetsenborden niét bluetooth, maar iets dat er op lijkt (licentie kost ontweken?) De discussie of die dan beter beveiligd zouden zijn, is dan weer een ander verhaal.

Mij lijkt dit vooral een theoretische aanval omdat je relatief dichtbij moet zijn om dit te gebruiken en je dus al heel goed moet weten wie je target moet zijn. Een complexe targeted attack dus....

mr.Millenarian @the_stickie • 30 november 2023 09:02

Dichtbij zoals in een drukke trein gaan zitten en om je heen meerdere mensen met Bluetooth koptelefoons, die via hun mobieltjes muziek aan het luisteren zijn? Ik zie dus wel mogelijkheden voor criminelen. Ik hoop dat aan de kant van de mobieltjes wel een goede beveiliging aanwezig is.

the_stickie @mr.Millenarian • 30 november 2023 13:03

Vraag is dan wat de ROI is. Gesteld dat er ook nog tijd nodig is om de keys te kraken (bruteforcen) en je zelfs dan nog 'enkel' kan afluisteren of een mitm kan opzetten, lijkt me dat dit enkel mogelijk interessant is voor aanvallen naar heel specifieke targets, uitgevoerd door aanvallers met tijd, budget én technische kennis.
Dan blijft nog over dat onder de genoemde voorwaarden ook heel andere aanvallen mogelijk zijn, die wellicht minder tijd of budget vereisen.
Mijn inschatting is dan ook dat dit een (interessante!) technische kwetsbaarheid is met uiterst geringe impact.

[Reactie gewijzigd door the_stickie op 24 juli 2024 08:23]

dok33 @The-Source • 30 november 2023 11:03

Oh, mooie attack vector.
Eerst tussen de carkit en de telefoon gaan zitten vanaf de parkeerplaats. Dan de carkit spoofen en verbonden blijven met de telefoon, om SMSjes die binnen komen uit te lezen. Ondertussen het toetsenbord en muis ook oppikken, en zodra er een Windows+L komt weet je dat het doelwit even weg is. Unlocken via opgevangen wachtwoord, en hoppa, gaan met die banaan allerlei two factors die met SMS werken zijn van jou, wachtwoordmanager unlocken heb je het wachtwoord van opgevangen, muisbewegingen zijn van jou. Volle controle, en doelwit is op de WC.

Komt even later terug bij een gelockte PC, maar heeft wel trojans gedownload en geen geld meer op zijn rekening.

The-Source @dok33 • 30 november 2023 11:05

En met telefoon abonnement nog even naar duur nummer laten bellen omdat dat laatste geld wat er nog is via telefoonrekening uit de zak kloppen.

Krystman 30 november 2023 08:02

Ik ben benieuwd of logi-bolt hier ook vatbaar voor is. Ze claimen "security Mode 1, Security Level 4" dus ik neem aan dat ze geen mindere sleutels accepteren.
Alhoewel de meeste devices die Bolt doen ook "gewone mensen bluetooth" aan kunnen.

Ik zie nog geen berichten op hun website.

ShadLink @Krystman • 30 november 2023 08:07

Bolt zelf is natuurlijk geen Bluetooth. Dat de devices ook BT ondersteunen is natuurlijk wel anders, maar als je over Bolt verbonden bent gebruik je geen BT.

BasZz2119 30 november 2023 07:16

Het lijkt erop dat gebruikers zelf niets kunnen doen om aanvallen te voorkomen.

Bluetooth uitzetten zal vast werken

KeizerH @BasZz2119 • 30 november 2023 07:24

Haha, moest hierom lachen tijdens de hectische ontbijt met mijn kids :p!

Jovialus @KeizerH • 30 november 2023 08:05

Jij zit tijdens je hectische ontbijt met je kinderen op Tweakers?

mastair @KeizerH • 30 november 2023 08:06

Misschien je focussen op het ontbijt met je kids i.p.v. Tweakers om het ontbijt wat minder hectisch te maken?

cariolive23 @mastair • 30 november 2023 08:14

Tweakers werkt therapeutisch, daarmee overleef je het ontbijt. Werkt bloeddrukverlagend

BounceMeister @KeizerH • 30 november 2023 08:19

Jouw Bluetooth-toetsenbord is al gehackt, iemand heeft "de" getypt in plaats van "het".

ArmEagle

@BasZz2119 • 30 november 2023 07:30

Kan dat of doet dat tegenwoordig nog iets op iPhones en andere apparaten van hetzelfde bedrijf?

jeroen3 @ArmEagle • 30 november 2023 07:42

Ik zou mij met name zorgen maken om toetsenborden, airpods, smartlocks. De smartphones kunnen makkelijker een update krijgen.

Cuverclub @BasZz2119 • 30 november 2023 10:41

BLE uitzetten op TY kan vaak niet.
Maar na verbinden kan je wel ontkoppelen of dit ook weer misbruikt kan worden zal me niet verbazen.
Ondertussen had ik een routine ingesteld (assistent verteld o.a. om 10 uur iets over het weer en eindigt met een flauwe grap) en nu dit

Storrum 30 november 2023 07:24

We provide BLUFFS, a low-cost and reproducible toolkit to implement, detect, and fix the attacks. The toolkit includes seven
original patches to manipulate session key derivation and monitor
𝑆𝐾s by patching the attack device’s Bluetooth firmware

Het probleem blijkt uiteindelijk, na het lezen van de conclusie, te zijn dat de keys die gebruikt om de bluetooth connectie te encrypten veel te zwak is en ze willen dus graag deze problemen oplossen. In het artikel wordt gezegd dat er geen oplossingen zijn.

Het beveiligingsprobleem zit in alle bluetooth-versies vanaf 4.2 tot de nieuwste 5.4 en zit in de architectuur. Daardoor is er geen echte fix.

Dus ik ben erg benieuwd wat Daniele Antonioli bedoelde met deze zogenoemde "fixes". Kan iemand mij hier misschien mee helpen want ik ben niet zo thuis in deze wereld.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (157)

Sorteer op:

Weergave: