Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 49 reacties

Een beveilingsbedrijf heeft een lek in de bluetooth-stack van Windows Mobile ontdekt. Een paired device kan via het Obex-protocol gemakkelijk alle bestanden op een smartphone bekijken en downloaden, en tevens bestanden uploaden.

BluetoothHet lek, dat het beveilingsbedrijf Seguridad Mobile dinsdag publiceerde, zit in de draadloze bestandsuitwisseling via Obex en is eenvoudig te misbruiken. Via een programma als ObexFTP kan een laptop of desktopcomputer verbinding maken met een Windows Mobile-smartphone. Standaard krijgt het paired device alleen toegang tot een map die bedoeld is voor bestanden die via bluetooth kunnen worden gedeeld. Door in een verkennervenster ../ of ..\\ als gewenst pad in te toetsen, zijn de andere mappen in het toestel echter toch toegankelijk.

Een eventuele aanvaller heeft, om het lek te misbruiken, wel toegang tot de smartphone nodig. Aan die voorwaarde kan worden voldaan als het apparaat eerder met de smartphone gepaird is geweest. Misbruik van het lek is daarom te voorkomen door onbekende apparaten niet toe te staan om via bluetooth toegang tot het apparaat te krijgen.

Microsoft heeft nog niet gereageerd op de publicatie van het lek, dat misbruikt kan worden met alle versies van Windows Mobile 5 en 6.

Moderatie-faq Wijzig weergave

Reacties (49)

I.p.v. heel bluetooth kun je ook alleen OBEX uitzetten, handmatig in het register om met speciale tooltjes. Dat is een stuk handiger voor mensen die dagelijks bluetooth gebruiken.

[Reactie gewijzigd door 2fish op 21 januari 2009 22:23]

Ik weet dat RIM bewust OBEX uit Blackberries heeft weggelaten voor precies deze reden, maar weglaten is op zich niet eens nodig - OBEX kan je voor alle WM telefooons op je netwerk uitzetten via SCMDM.
Het verbaast me dat hier dan ook een professioneel bedrijf aan te pas moet komen. Iedereen die ook maar iets van commandline commando's weet (of naja, het gebruik van ../ is toch wel redelijk bekend lijkt me zo) zou dit hebben kunnen uitgevonden.

Als het echter niet met een knop of op een andere manier dan zelf de ../ in te typen in het programma beschikbaar is, lijkt me het wel een soort van lek. Voordeel van bluetooth is dat je toch iets gepaired moet hebben. Door goed op te letten wat je wel/ niet accepteert, kunnen alleen bekenden erbij komen. De meeste apparaten hebben zelfs na het de 1e keer connecten nog de optie om een vraag voor acceptatie te geven voordat er daadwerkelijk verbinding kan worden gemaakt. Voor iemand met kwaadwillende bedoelingen die je niet kent heeft deze exploit dus eigenlijk geen nut.
Voordeel van bluetooth is dat je toch iets gepaired moet hebben. Door goed op te letten wat je wel/ niet accepteert, kunnen alleen bekenden erbij komen. De meeste apparaten hebben zelfs na het de 1e keer connecten nog de optie om een vraag voor acceptatie te geven voordat er daadwerkelijk verbinding kan worden gemaakt. Voor iemand met kwaadwillende bedoelingen die je niet kent heeft deze exploit dus eigenlijk geen nut.
Ook daar zijn weer trucen voor te bedenken. Ga maar eens bij zo'n bluetooth reclame zendapparaat staan in een winkelcentrum en je kan je eenvoudig vermommen als een onschuldige reclamezender. Denk eens aan Het apparaat 'Accepteer en ontvang een gratis monster van <merk/product>' wil verbinding maken met uw telefoon. Wilt u dit accepteren?.

Daarnaast bewijst het bestaan van spam/scam/phishing dat het wel degelijk mogelijk is om mensen in de verleiding te stellen om het te accepteren. Het percentage is misschien niet heel groot, maar in een beetje drukke omgeving en een flinke Bluetooth antenne kom je een heel eind denk ik.

Daarom is het van belang dat alle schakels in je beveiliging op orde zijn.

[Reactie gewijzigd door gertvdijk op 21 januari 2009 12:59]

Dat is social engineering en alhoewel je wel gelijk hebt dat die toegang wel te krijgen is als je het maar slim genoeg aanpakt, vind ik dat deze 'ontdekking' wel een beetje zoeken naar spijkers op laag water is.
Van een auto kan je ook zeggen dat, als iemand toegang tot het voertuig heeft, je er mee weg kan rijden door de juiste draadjes met elkaar te verbinden.
Of, als iemand toegang tot je huis heeft is het mogelijk dat ze met je huistelefoon gaan bellen. Op die manier weet ik dan ook nog wel een paar 'lekken' te vinden.
Dat is dan natuurlijk gewoon de naam van de Bluetooth device...
Een van de redenen waarom ik Bluetooth eigenlijk standaard uit heb staan. In de spitstrein heb ik voor de grap wel eens een scan gedaan, het zal je verbazen hoeveel mensen het gewoon aan hebben staan met de default device-naam. (Vergelijkbaar met hoe mensen hun wireless router op de defaultinstellingen laten staan).

In de praktijk zal dit lek lastig te exploiteren zijn, maar is wel een behoorlijke grove fout in de beveiliging.
De vraag is of het uberhaupt een lek is. Je maakt via een ftp browser verbinding met een wm toestel. En in dat ftp programma kun je dan een directory omhoog vanuit de standaard directory. Als dat als een lek gezien wordt, dan weet ik heeeeeeeel veel systemen met hetzelfde lek.

Ook kun je je afvragen wat BT hiermee te maken heeft. Je bent tenslotte gewoon gepaird.

Storm in een glas water. Straks gaan ze nog zeggen dat het een lek is als je ingelogt bent op een linux machine en het rootpassword weet je via sudo root rechten kunt krijgen. Kom op zeg.
Ook kun je je afvragen wat BT hiermee te maken heeft. Je bent tenslotte gewoon gepaird.
Ja, maar bluetooth is meer dan een 2.4GHz signaaltje. De stack op elk Bluetooth device voorziet je ook in een aantal profielen waarvan specificaties zijn vastgelegd. Zo is die er ook voor OBEX via Bluetooth. Feitelijk is het dus een bug in het OBEX profiel en daarmee dus de Bluetooth stack op WM.
Straks gaan ze nog zeggen dat het een lek is als je ingelogt bent op een linux machine en het rootpassword weet je via sudo root rechten kunt krijgen. Kom op zeg.
Terechte opmerking. Daarom vind ik het gebruik van sudo op een server geen goed idee.

[Reactie gewijzigd door gertvdijk op 21 januari 2009 13:47]

voor SUDO heb je geen root password nodig, enkel je eigen paswoord (als je als sudoer ingesteld bent). Voor SU heb je wel root password nodig.
enkelt sudo zonder parameter dan wil ie switchen naar root, althans onder debian. En moet je dus het root password ingeven.
In de spitstrein heb ik voor de grap wel eens een scan gedaan, het zal je verbazen hoeveel mensen het gewoon aan hebben staan met de default device-naam. (Vergelijkbaar met hoe mensen hun wireless router op de defaultinstellingen laten staan)
Ik heb BT standaard ook aan staan (ook in de spits treinen) alleen om 't domme feit dat ik veel BT gebruik (connectie van/naar laptop, screensaver aan middels proximity etc.)

Het feit dat je telefoons /ziet/ wil niet zeggen dat iedereen dom is en dat 't een veiligheids probleem is. Voor zover ik opmaak uit de tekst, moet je altijd eerst gepaired zijn met de host alvorens je toegang krijgt tot die meuk.

Mijn telefoon kan ik zelfs instellen dat bij elke connectie (zelfs van eerdere gepairde clients) ik toestemming moet geven.

WiFi routertjes komen tegenwoordig standaard met WPA/WPA2. Niets vreselijks aan om die default te behouden.
[...]
WiFi routertjes komen tegenwoordig standaard met WPA/WPA2. Niets vreselijks aan om die default te behouden.
Als je het niet erg vindt om je netwerk en je verbinding te delen met anderen niet nee ;)
http://www.security.nl/ar..._eenvoudig_te_kraken.html
wat hij bedoelt is dat de wifi router gewoon aan staat en zijn ssid uitzend.
Echter, om te connecten moet je het wachtwoord wel weten.

Zelfde geldt hier voor BT. Je moet eerst op je mobiel aangeven dat je het pairen goed keurt. Pas daarna is obex mogelijk (al kan ik mij herinneren dat ik die ook specifiek moet aanvinken op mijn WM)
Kijk jij dan eens even goed naar die link ;)

Er wordt daar aangegeven dat het heel makkelijk is het _standaard_ wachtwoord van de Speedtouch draadloze routers te achterhalen, ECHT makkelijk.

Nog contreter, geen draadloos? Als je de juiste applicatie bij je hebt en een standaard ingestelde speedtouch heb je binnen 5 minuten _wel_ internet. Legaal? Nee! Zeker niet! ik denk echter dat Toff wou aangeven dat 'standaard' instellingen niet altijd zo veilig zijn als ze eigenlijk lijken, met als voorbeeld de speedtouch router.
Als ik mijn telefoon een N95 noem terwijl het een andere telefoon is. Kan jij er niet zo zonder blueprinting (wat al lastig is, imho) achterhalen dat het een Windows Mobile toestel is en/of welke type het is.

Ik heb dit blueprinting of hoe het precies het wel gebruikt voor een oplossing en echt betrouwbaar is device name + bluetooth profile (+quirks) niet echt om middels dit te betalen welk merk+type telefoon het is.
Als je een naam detecteerd van een bleutooth apparaat, heb je altijd ook het MAC-address. En daarvan kun je opzoeken aan welke fabrikant dat MAC-address is toegeschreven. Als daar staat Sweex Netherlands Bv. bijvoorbeeld, dikke kans dat je een laptop hebt. Nokia kan je zo ook herkennen, en veel HTC toestelen kun je herkennen door het mac address te verhalen aan HTC zelf of aan Quallcomm (hoewel je dan ook een ander merk toestel als tegenpartij kunt hebben).
Ja, merk is ook niet moeilijk. Modeltype van een device wel. Verder hoeft een mac adres helemaal niet specifiek gekoppeld te zijn aan een merk (bijv. beginnummers). Al meerdere keren gehad dat dit niet zo was. Verder geeft de bluetooth toestel zelf al vaak aan wat het is een smartphone of notebook etc.
Je kan daarintegen vaak aan de hand van het merk wel opmaken welk OS het draait, S60, WiMo, etc...
Buhuu buhuuu, accepteer dan gewoon geen vreemde devices, lijkt me sowieso een aanrader.

Ik ben het er mee eens dat er veel beveiligingslekken zijn bij software, maar in dit geval vind ik dat we wel erg moeilijk doen over bijna niets.

Ik vind het zelfs handig, en wist dit allang, ik zag het nooit als lek, ik dacht dat het was om leeks buiten de andere folders te houden zodat ze hun telefoon niet obruikbaar maken.

Ik beschrijf deze optie als: handig en geen lek...
Iets is pas een optie als je het aan/uit kan zetten, IMHO.

Stel ik ben een zakenman, en pair mijn device om een powerpoint uit te wisselen, dan wil ik nog niet dat de andere partij alle andere (gevoelige) documenten op mijn telefoon kan bereiken....

Je hebt gelijk dat het lastig te exploiteren is en handig kan zijn, maar daarmee is het nog steeds een beveiligingsfout.
Dan verwijder je de pairing achteraf toch? Trouwens, als ik iets doorstuur doe ik dat via beam, en als ik het goed heb maakt beam slechts een tijdelijke pairing die hij weer weg doet wanneer de file transfer gebeurd is.
Dan verwijder je de pairing achteraf toch?
Dan is het kwaad mogelijk allang geschied. :+ Al je persoonlijke data is zonder dat je het weet misschien al gekopieerd.

Ben het helemaal eens met Keypunchie. Iets met 'tijdelijk' of 'achteraf' is gewoon geen oplossing voor zo'n probleem.
Om nou echt te zeggen dat het een " echte" exploit is die je in het wild gaat zien. Nee niet echt, ik bedoel zelf zit ik in de bus altijd te klote met mijn laptop en bluetooth maar geen kip die er aan denkt om de verbinding te accepteren (maar dat kan ook door de aanstootgevende naam komen :+ .

Om het nou een echte serieuze exploit te noemen vind ik dus niet opgaan in deze kwestie.

[Reactie gewijzigd door Blonde Tux op 21 januari 2009 12:22]

"Door in een verkennervenster ../ of ..\\ als gewenst pad in te toetsen, zijn de andere mappen in het toestel echter toch toegankelijk."

Dat is wel heeel erg triviaal, niet? Hoe kan het dat het zo lang geduurd heeft voordat het ontdekt is?
Tjah, achteraf blijken wel meer bugs / lekken triviaal - maar kom er eerst maar eens op! Maarreh, dit lek heeft Microsoft al eens eerder meegemaakt: de eerste release van IIS had dit probleem ook: met in de URLvia ../ te verwijzen naar CMD.EXE kon je botweg een CMD prompt opstarten, bv. FORMAT draaien en dat afsluiten met een DATE commando waardoor de transactie nooit werd voltooid dus ook niet werd gelogd (voor de non-DOSsers hier: een DATE commando op de commandline verwacht dat je een ram op de Enter toets geeft alvorens terug te keren naar de commandline).

Microsoft kleunt dus voor de tweede keer in deze url valkuil.

Toch even m'n kids hierop wijzen want die peeren hun telefoons met jan/alleman en laten bluetooth gerust de hele dag aan staan op school.
Als je hieronder leest zie je dat je meerdere mensen zijn die er op zijn gekomen;). Dit is ook meestal 1 van de 1e dingen die ik gebruik als ergens geen toegang tot kan krijgen (zeg een schoolnetwerk of een website).

Ik kan me ook goed voorstellen dat gebruikers dit niet direct als een bug zien, maar meer als een extra handigheidje! Want ook ik dacht dat dit hoorde en vond het altijd stom dat je niet in Samsungs, Nokia's of Sony Ericcsons hele mobiel kon bladeren. Aangezien dit wel in Windows Mobile zelf kan via explorer, is het zo raar nog niet dat je er ook via bluetooth in kan.... En je kan er alleen in als je toegang krijgt, dus dat valt nog wel mee qua onveiligheid.

Erger is dat Microsoft naar tal van jaren er nu achter komt, dat dit eigenlijk nooit de bedoeling was (althans volgens het beveiligingsbedrijf). Want de gebruikers kun je er niet van blamen dat men dacht dat het zo hoorde ;)
Dit is iets waar ik zelf al een tijdje van op de hoogte ben. Ik heb dit al verschillende keren zelf 'misbruikt' om bepaalde dingen in mijn WM device aan te passen die anders niet zo toegankelijk zijn.

Ik heb er echter nooit bij stilgestaan dat dit eigenlijk ook gevaarlijk kan zijn en altijd als een feature ipv een bug gezien.
Het bestaat al een hele tijd, heb er reeds zelf misbruik van gemaakt.

Als ik me goed herinner had ik dit van xda-dev.

En dat ze er nu zo "officieel" mee uitpakken is ook overdreven voor iets wat al zo lang bekend is.
Ik wist niet dat het een bug was.
Maar een goed jaar geleden was ik er al bekend mee.
Want me mio mitac c710 was alleen via obex commander toegankelijk via vista. (is ook Windows based)
Met als voordeel dat je alle mappen kon benaderen en zo de kaart software kon updaten.

Ik ben eigenlijk blij dat het bestaat want anders kon ik dus nooit me navigatie update met vista. (alleen xp drivers beschikbaar volgens fabrikant)
Ik vindt dit wel handig. Nu weet ik hoe ik door me mobiel kan bladeren en niet alleen in de Bleutooth moet blijven zitten.

Zou me niets verbazen als dit eigelijk geen lek is maar gewoon een functie.

[Reactie gewijzigd door Mentox op 21 januari 2009 11:56]

Dit wist ik al langer, een vriend van mij had via zijn WM telefoon op mijn SD kaart in mijn WM telefoon een paar dingen veranderd .
Stond ook verbaast te kijken dat dat mogelijk was, dacht eigenlijk zelf dat dit een functie van WM was dat je toegang tot alle mappen en bestanden hebt.
Ik weet niet of het standaard is, maar als ik op mijn HTC Touch HD kijk staat OBEX standaard uit...
Er zijn al jaren bluetooth modems beschikbaar die voor het versturen van bestanden via bluetooth geen 'ok' nodig hebben van de gebruiker. 't Is blijkbaar gewoon de eerste haan die ernaar kraait.
Je moet nog steeds gepaired zijn. Die pairing is het 'ok' van de gebruiker.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True