Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Bluetooth-gadgets kwetsbaar voor afluisterpraktijken

Ollie Whitehouse, onderzoeker van beveiligingsspecialist @Stake, heeft een tool ontwikkeld waarmee andere devices met Bluetooth in de directe omgeving geïdentificeerd kunnen worden. Als deze slecht beveiligd zijn kunnen er makkelijk gegevens gestolen worden. De software is juist ontwikkeld om de potentiele gevaren van het gebruik van Bluetooth aan te tonen. Veel mensen hebben niet in de gaten dat er Bluetooth geïnstalleerd is en hebben de beveiliging uitgeschakeld. Bluetooth heeft een bereik van 15 meter, een reikwijdte waar bijvooorbeeld je mede-treinpassagiers zich binnen bevinden. De beveiliging van Bluetooth zal de komende twee jaar steeds belangrijker worden zegt beveilingsexpert Bruce Potter:

"Bluetooth security will become a real issue in the next year or two," predicts Potter. "There are currently more Bluetooth radios in existence than 802.11 radios, but most corporate security departments don't know the first thing about Bluetooth security."

US research company Gartner estimates that around 161 million Bluetooth-enabled devices will be sold in 2003 alone.
Vorig nieuwsartikel Volgend nieuwsartikel

Door

Feedback • 11-08-2003 22:41
35 • submitter: T.T.

35 Linkedin Google+

Submitter: T.T.

Bron: New Scientist

Lees meer

Veel rf-dongels muizen en toetsenborden vatbaar voor misbruik 25 februari 2016
Criminelen kunnen afluisterpraktijken makkelijk omzeilen 1 december 2005
Car Whisperer waarschuwt Bluetooth-fabrikanten 3 augustus 2005
Bluetooth-beveiliging makkelijk te omzeilen 4 juni 2005
Roadmap gepresenteerd voor ontwikkeling Bluetooth 8 november 2004
Stroomverbruik in de gaten houden met Kill-A-Watt gadget 24 december 2003
Logitech Mobile Bluetooth Headset review 14 november 2003
GSM-toestel met intelligente MP3-grabber in ontwikkeling 20 oktober 2003
SonyEricsson komt met Bluetooth-speelgoedauto 4 september 2003
Dierentuin vindt vermiste kinderen met Bluetooth 25 juni 2003
Groep multinationals gaan werken aan interoperabiliteit 19 juni 2003
Bluetooth 1.2 officieel geïntroduceerd te Amsterdam 17 juni 2003
McAfee: mobiele beveiliging bespaart miljarden 24 januari 2003
Meer producten en artikelen (10)
Wetenschap

Reacties (35)

-Moderatie-faq
-135035+134+213+31Ongemodereerd1
Wijzig sortering
+2 Iruja
11 augustus 2003 22:48
Ik weet eigenlijk niet of Bluetooth een soort beveiliging heeft, maar destijds in het begin had ik op de HCC met mijn t68i bij de ms stand allemaal berichtjes gestuurd naar die printers daar, en dat ging gewoon.
Die printers vroegen geen paswoord of iets.
Ik was niet de enige en ik heb een aantal best gefrustreerde ms medewerkers gezien daar.
Dus dat het kwetsbaar is leek mij al wel bewezen?
+2 VisionMaster
@Iruja11 augustus 2003 22:55
Nee absoluut niet bewezen.
Je heb bewezen dat de medewerkers van de MS stand op de HHC niets weten van de techniek die BlueTooth heet. Je kan je printers zelfs enkelt secure lijntjes (kinda SSH tunneling...) laten accepteren. Dit betekent dat je wachtwoord niet als plain-text door de lucht 'vliegt' wat erg nasty is. Dat wachtwoord moet overeen komen met de instellingen op de printer :Y)
+1 LauPro
@VisionMaster11 augustus 2003 23:28
Heel fijn maar dan heb je altijd nog een private key nodig en die krijg je dan niet zo 1-2-3 op je mobiel, dat wordt dus overtypen en dat lijkt me klotewerk.

En daarna kan zo'n key ook niet 1-2-3 worden gewijzigd omdat alle printers dan weer moeten worden aangepast....
+1 VisionMaster
@LauPro12 augustus 2003 00:57
Kinda SSH != Public Key Infrastructure

Je heb een secure verbinding (encrypted) dit zou wel eens gewoon een DES achtig iets zijn dat geverifieerd wordt met een code (voor die sessie).

offtopic:
Je kan ook een DES encryptie doen met de public key die je heb geverifieerd.
PS: type jij altijd public en private key's over :?
nofi: wat je zegt slaat nergens op. De codes zijn meestal cijfer combinaties (afaik is de standaard max. 32 bytes, dus 32 alfanumerice karakters te gebruiken als password en dat kan je gewoon in je printertje instellen. Als ze dat niet gedaan hebben op die MS stand op de HCC dan vind ik het jammer dat ik mijn phone nog niet had. Ik had wel even mijn telefoonboekje willen printen.
0 LauPro
@LauPro13 augustus 2003 03:01
Je maakt mij niet wijs dat je een verbinding kan maken die iemand anders niet kan afluisteren zonder private key of hoe het dan ook in de software is genoemd. Als beide systemen random een key verzinnen 'verstaan' ze elkaar niet en als ze die van tevoren 'afspreken' dan kan iemand hem afluisteren.
+2 BamSlam_
11 augustus 2003 22:45
Het tooltje (Red Fang) is hier te downloaden: www.atstake.com/research/tools/info_gathering/redfang.tar.gz
+2 VisionMaster
@BamSlam_11 augustus 2003 22:52
Hmmm heb zo mijn ethische twijfels over je post met de link ;)

AnyWay ... een collega die nu terug is naar de States intrigeerde de BlueTooth standaarden ook enorm. Hij had al een idee hoe je de 'vliegende' kon vangen/tracen om zo iig een aanknopingspunt te ontlokken aan de BlueTooth chip. Er waren al wat ideeen om aan de Mac adressen te komen ookal staat je chip niet opengesteld voor buitenstanders (een t68i staat alleen met BlueTooth aan vindbaar gesteld voor apparaten waar het mee ge'paired' is). Dus je moet het helemaal van zijn power afhalen wil je echt 'safe' zijn. Nokia's zijn erg gevoelig, want die staat altijd vindbaar of geheel uit (en anders ben ik een zooi wazige en openminded mensen tegen gekomen).
Met een linux laptopje en de BlueZ software kan je gemakkelijk je eigen C progseltje brouwen om in de trein te connecten met de phones van business people. Of van die leuke iPaq-jes :Y)

(Disclaiming: ik weet hoe het kan, nog nooit gedaan en heb de BlueZ drivers niet geinstalleerd op mijn laptop die op windows werkt en niet linux).
+1 BamSlam_
@VisionMaster11 augustus 2003 22:55
Nokia's zijn erg gevoelig, want die staat altijd vindbaar of geheel uit (en anders ben ik een zooi wazige en openminded mensen tegen gekomen
Mijn Nokia 7650 biedt de mogelijkheid om Bluetooth op invisible te zetten. Je bent blijkbaar inderdaad wat wazige mensen tegengekomen :) Daarentegen stond de Sony/Ericsson P800 van een collega van me gewoon open, kon hem zo wat foto's sturen. Maar ik weet niet of dat default is op die telefoon.
+1 VisionMaster
@BamSlam_11 augustus 2003 23:03
De t68i is standaard afgeschermd (standaard uit) en je bent alleen maar altijd (bij BlueTooth actief zijn) vindbaar voor de gepairde devices. Pas als je jezelf vindbaar steld ben je door anderen te vinden (voor max. 3 minuten).
Ik denk dat de P800 ook zoiets heeft. 'Lijkt' me vrij veilig. Maar hier zijn dus de BlueTooth exploits op te bedenken. Zoals mijn andere post lichtjes verteld.
+2 dahei
11 augustus 2003 23:05
Ik zat voor mijn werk in London vorige week en ik moest met de metro mee. Even een scan gedaan en ik vond 4 (!) bluetooth apparaten bij me in de buurt. Mensen hebben geen idee dat ze het aan hebben staan, ze willen alleen maar "een klein telefoontje" maar doen er verder niets mee. Totdat ze ergens een optie vinden om hun telefoon ook nog een naam te geven :) Eentje heette suzy en de andere charles :o
+1 interaddict
@dahei12 augustus 2003 02:54
Wat een redenering:
Omdat jij 4 gebruikers vind, hebben ze geen idee dat ze het aan hebben staan.. :Z

Jezelf vindbaar maken via bluetooth, is gewoon een optie op je telefoon, en daar kun je verder niks mee.
+1 VisionMaster
@interaddict12 augustus 2003 09:21
Dat is erg kort door de bocht :P
Je 'even vindbaar maken' betekent dat je je 'device' opensteld voor verbindingen. Meestal moet je je alsnog als gebruiker je verifieren, maar het feit dat iemand je kan vinden stelt een kwaadwillende instaat iets te doen met het gevonden 'device'.
Nog even kort voor het idee, het artikel heeft het over mogelijke exploits met BlueTooth en dit is de eenvoudigste om te 'hacken' :D
Je moet je voorstellen dat een 'device' zich op een presenteerblaadje aanbied. ;)
+1 VisionMaster
@dahei11 augustus 2003 23:22
Check eens op Schiphol plaza ... I rest My Case ... :Z

Bij de Burger K. heb ik er eens 5 gevonden. Dit was de eerste keer dat ik moest scrollen op mijn phone om alle devices op beeld te kunnen zien :D
Ik verwacht aan de andere kant van de douane meer devices te vinden. Volgende keer een laptopje meenemen, die USB dongle heeft beter bereik denk ik. :Y)
+2 Baritee
11 augustus 2003 23:06
Al die zever over beveiliging, ik krijg steeds meer de indruk dat het opgeklopte paniekzaaierij is om ons weer eens te laten investeren in beveiliging. Ik kan bergrijpen dat sommige bedrijven liever niet hebben dat hun geheimen open en bloot liggen maar als de doorsnee thuisgebruiker (die geen vijanden heeft) hiervan wakker ligt is hij toch echt paranoïa.
+1 Suleika
@Baritee12 augustus 2003 09:40
Ben ik het helemaal mee eens. Zolang jij gewoon een online spelletje speelt, een beetje surft, een beetje MP3's download zoals bijna ieder ander, is een firewall ook compleet overbodig.
Een collega van mij heeft het virus ook te pakken. En dan werken sommige spelletjes niet omdat hij een firewall heeft geinstalleerd... Doe dat dan niet, denk ik dan. Je bent gewoon Jan Lul met de Pentium, geen Rabobank server, geen defensiecomputer, geen site die mensen willen defacen, je bent niets. Niets interessants, in elk geval.
Qua beveiliging is een virusscanner nuttig, de rest is nonsens.
+1 ATS
@Suleika12 augustus 2003 10:02
Ik vind het toch wel fijn dat mijn computer niet gebruikt kan worden voor een DDS aanval, omdat ik een behoorlijk dichtgetimmerde firewall heb.
+1 OverSoft
@Baritee11 augustus 2003 23:55
Sta je toch te kijken als blijkt dat er via jouw telefoon voor meer dan 2 uur naar een sexlijn is gebeld zonder dat jij het weet.

Fijn he, beveiliging |:(
+2 onedutch
11 augustus 2003 23:15
Als je artikel een beetje leest dan zie je staan dat de Gebruiker Verantwoordelijk dient te zijn...

Je geeft een bankovervaller met een mes voor je niet ook je pistool.

Opvoeden dat is wat er moet gebeuren.

In vergelijking met een WIFI is bluetooth genoeg beveiligd. Zelfs met WEP aan is wifi binnen enkele uren kinderspel (mits traffic)

Terwijl menig bluetooth gebruiker de eerste keer de ballen snapt van wat hij moet doen om zijn pda middels bluetooth zijn gprs abonnement op zijn telefoon te gebruiken.

Voor Bluetooth vindt ik het kraken van traffic net zo'n frequentie Hopping Mysterie als GSM verkeer zelf...

Oke dat de zwakke schakel de gebruiker is ben ik met iedereen eens.

Groetjes Tom
+1 VisionMaster
@onedutch12 augustus 2003 09:33
Ik heb eens even gesearched en ik vond deze site:
http://www.swedetrack.com/images/bluet11.htm

HEt gaat over Frequentie Hopping. Ik dacht altijd dat de BlueTooth chips een soort random hopping schema onderhandelde en die dus live tijdens een connectie konden veranderen.
iaw ik denk dat het wel lastiger is om BlueTooth af te tappen dan GSM (1 (sub)frequentie of een aantal (sub)frequenties kiezen en verbinden) Maar zeker niet onmogelijk.
Misschien naar alle 'hop' frequenties luisteren met je apparatuur en uitvinden hoe de hopping plaats vind. Volgens mij komt er aan het einde van een random sequence namelijk een herhaling van dezelfde :D
Nah ... zal wel niet ... das te makkelijk
Iemand nog bright ideas?
+2 Djith
11 augustus 2003 22:44
Tja, dat heb je als je open media, zoals de ether gebruikt. Daarom heb ik het ook nooit zo op draadloze netwerken e.d.
+2 lasermen
12 augustus 2003 01:38
ik heb met me se t610 voor de gein wat leuke nummers in me ooms nokia 7650 gezet zonder dat het ding vroeg van mot ie het accepten
+2 Suleika
12 augustus 2003 11:17
Stel ik zit in de trein met mijn telefoon, dan moet er maar net iemand zijn met een BT laptop, die moet dan maar net kennis van zaken hebben, die moet dan maar net MIJ, of all people, willen naaien, klieren of wat dan ook. Wat een flauwekul.

Ik kan me voorstellen dat dit speelt in bedrijven, met spionage, agenda's etcetera, maar dan nog heeft het een hoog James Bond-gehalte. Oftewel, de particulier - net als de computerbeveiliging annex firewall-hype - hoeft zich nergens zorgen om te maken. Wie ben ik?
+1 Madcat
11 augustus 2003 22:44
gussie.. was dit twee jaar geleden ook al niet op het tweakers?

ik bedoel, als mensen zo nodig bluetooth speeltjes willen hebben en niet even een paar dingen instellen dan is het toch hun eigen zorg dat het niet goed is.

de meeste fabrikanten hebben standaard al het veiligheids niveau aardig hoog staan.
ik heb twee jaar geleden wat gespeeld met bluetooth tijdens mijn stage, en ja bluetooth valt te hacken.. maar over het algemeen is het protocol best aardig.

zeker als je er nog eens een extra aplicatie laag overheen gooit waar extra encryptie in zit.
+3 jona
@Madcat11 augustus 2003 23:00
Dit heeft al een term gekregen: bluejacking.(zie http://esato.com/board/viewtopic.php?topic=15976&forum=16 ) Veel Nokia telefoons zoals de 7650 en de 6310 hebben bluetooth permanent op Aan staan. Daardoor kun je bv ongevraagd visitekaartjes naar hen sturen maar dan met een 'leuke' boodschap. Maar om echt gegevens te stelen moet je volgens mij wel een koppeling hebben en daarvoor heb je nog steeds een pincode nodig.
+1 BamSlam_
@jona11 augustus 2003 23:13
De 7650 heeft Bluetooth standaard *uit* staan. En biedt je ook nog eens de mogelijkheid om niet detecteerbaar te zijn voor andere devices.
+1 wout
@jona12 augustus 2003 07:15
(zie ook BamSlam_ hierboven)
...en voor de 6310 geldt hetzelfde. Standaard staat 'ie uit en je kunt 'm altijd 'niet laten vinden'. Laatste zelf pas geconstateerd met m'n BT PDA.
0 BamSlam_
11 augustus 2003 22:44
Ik heb bluetooth standaard uitgeschakeld staan, zowel op m'n telefoontje als op m'n laptop & desktop. Alleen als ik het nodig is enable ik het even tijdelijk.
+2 tweakerbee
@BamSlam_11 augustus 2003 23:01
Tot je een carkit in je auto in gaat bouwen. Dan laat je het wel de hele tijd aanstaan, werkt uitstekend.

Overigens heb ik gespeeld met (twee BT carkits) en een Siemens S55, en heb ik zelf een laptop met BT. Je kunt de meeste services niet gebruiken zonder het apparaat te "pairen", wat IMHO afdoende beveiliging biedt. Je kunt de telefoon ook onzichtbaar maken voor andere apparaten, zolang je ze niet gepaired hebt. Dan zit je redelijk safe.
1 2

Op dit item kan niet meer gereageerd worden.

Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*