NCC Group führt den weltweit ersten Link-Layer-Relay-Angriff (Hack) auf Bluetooth Low Energy durch und deckt Schwachstellen in auf Annäherung basierenden Mechanismen auf, wodurch laut NCC Group auch Millionen von Autos wie etwa Tesla 3 oder Y, sowie mobile Geräten und Schließsystemen gefährdet sind.
Der weltweit tätige Cyber-Sicherheitsexperte NCC Group gab heute bekannt, dass er den weltweit ersten Link-Layer-Relay-Angriff auf Bluetooth Low Energy (BLE) durchgeführt hat. BLE ist ein Standardprotokoll für den Datenaustausch zwischen Geräten, das von Unternehmen für die Authentifizierung im Nahbereich eingesetzt wird, um Millionen von Fahrzeugen, intelligenten Schlössern für Wohngebäude, Zugangskontrollsystemen für gewerbliche Gebäude, Smartphones, Smartwatches, Laptops und mehr zu entsperren.
Bluetooth Low Energy (BLE) erfolgreich angegriffen
Dies beweist, dass jedes Produkt, das sich auf eine vertrauenswürdige BLE-Verbindung verlässt, selbst vom anderen Ende der Welt aus anfällig für Angriffe ist. Durch die Weiterleitung von Daten aus dem Basisband auf der Verbindungsschicht umgeht der Hack bekannte Schutzmaßnahmen für Relay-Angriffe, einschließlich verschlüsselter BLE-Kommunikation, da er die oberen Schichten des Bluetooth-Stacks und die Notwendigkeit der Entschlüsselung umgeht. In der Tat verwenden Systeme, auf die sich Menschen verlassen, um ihre Autos, Häuser und privaten Daten zu schützen, Bluetooth-Authentifizierungsmechanismen, die mit billiger Standardhardware leicht geknackt werden können.
Sultan Qasim Khan, Principal Security Consultant und Forscher bei der NCC Group, der diese Untersuchung durchgeführt hat, konnte als Konzeptbeweis nachweisen, dass ein Link-Layer-Relay-Angriff die bestehenden Anwendungen der BLE-basierten Proximity-Authentifizierung eindeutig überwindet.
Laptops, Smartphones – sogar Tesla 3 gehackt
Das bedeutet, dass Produkte, die sich zur Authentifizierung auf die Nähe eines vertrauenswürdigen BLE-Geräts verlassen, nun von einem Angreifer entriegelt werden können, der Befehle von überall her weiterleitet – ein Auto kann also vom anderen Ende der Welt aus gehackt werden.
Da die Technologie so weit verbreitet ist, ist die potenzielle Angriffsfläche riesig. Sie umfasst:
- Autos mit schlüssellosem Zugang – ein Angreifer kann ein Fahrzeug entriegeln, starten und fahren. Die NCC Group hat einen erfolgreichen Angriff auf die Tesla-Modelle 3 und Y (von denen über 2 Millionen verkauft wurden) bestätigt und bekannt gegeben.
- Laptops mit aktivierter Bluetooth-Proximity-Unlock-Funktion – dieser Angriff ermöglicht es jemandem, das Gerät zu entsperren
- Mobiltelefone – ein Krimineller könnte verhindern, dass sich das Telefon sperrt
- Intelligente Schlösser für Wohngebäude – ein Angreifer könnte die Tür entriegeln und öffnen, ohne das Schloss mechanisch zu knacken oder zu zerschneiden. Die NCC Group hat einen erfolgreichen Angriff auf intelligente Schlösser von Kwikset/Weiser Kevo durchgeführt, der dem Hersteller bekannt gegeben wurde.
- Gebäude-Zugangskontrollsysteme – ein Angreifer kann Türen entriegeln und öffnen und sich gleichzeitig als eine andere Person ausgeben (deren Telefon oder Anhänger übertragen wird)
- Ortung von Vermögenswerten und medizinischen Patienten – jemand könnte den Standort eines Vermögenswerts oder eines Patienten fälschen
Die Entdeckung beweist, dass sehr populäre Produkte derzeit eine unsichere BLE-Authentifizierung in kritischen Anwendungen verwenden. In der Zwischenzeit bieten die aktuellen Versionen der BLE-Spezifikation keine geeigneten Mittel für ein sicheres Ranging, und auch die Verschlüsselung der BLE-Verbindungsschicht und die GATT-Antwortzeitgrenzen verhindern keine Relay-Angriffe.
Relay-Angriff – da hilft auch kein Patch
Die NCC Group warnt, dass es sich weder um einen herkömmlichen Fehler handelt, der mit einem einfachen Software-Patch behoben werden kann, noch um einen Fehler in der Bluetooth-Spezifikation. Vielmehr verdeutlicht diese Untersuchung die Gefahr der Verwendung von Technologien für andere als die vorgesehenen Zwecke, insbesondere wenn es um Sicherheitsfragen geht: Die BLE-basierte Proximity-Authentifizierung war ursprünglich nicht für den Einsatz in kritischen Systemen wie Schließmechanismen vorgesehen.
„Die Stärke dieser Technologie liegt nicht nur darin, dass wir ein Bluetooth-Gerät davon überzeugen können, dass wir uns in seiner Nähe befinden – selbst wenn es Hunderte von Kilometern entfernt ist -, sondern auch darin, dass wir dies selbst dann tun können, wenn der Hersteller Schutzmaßnahmen wie Verschlüsselung und Latenzbegrenzung ergriffen hat, um diese Kommunikation theoretisch vor Angreifern aus der Ferne zu schützen“, so Sultan Qasim Khan. „Alles, was es braucht, sind 10 Sekunden – und diese Angriffe können endlos wiederholt werden.
Nach 10 Sekunden ist alles passiert
„Diese Forschung umgeht typische Gegenmaßnahmen gegen die Entriegelung von Fahrzeugen durch Angreifer aus der Ferne und verändert die Art und Weise, wie Ingenieure und Verbraucher über die Sicherheit der Bluetooth Low Energy Kommunikation denken müssen“, fügte er hinzu. „Es ist keine gute Idee, Sicherheit gegen Komfort einzutauschen – wir brauchen bessere Schutzmaßnahmen gegen solche Angriffe.
„Diese Untersuchung zeigt, dass die Risiken in der digitalen Welt zunehmend auch zu Risiken in der physischen Welt werden. Da immer mehr Bereiche der Umwelt vernetzt werden, wächst das Potenzial für Angreifer, in Autos, Häuser, Unternehmen, Schulen, Versorgungsnetze, Krankenhäuser und vieles mehr einzudringen“, so Khan.
Maßnahmen, um sich vor diesen Angriffen zu schützen:
- Die Hersteller können das Risiko verringern, indem sie die Proximity-Key-Funktionalität deaktivieren, wenn das Telefon oder der Schlüsselanhänger des Benutzers eine Zeit lang stillsteht (basierend auf dem Beschleunigungsmesser).
- Die Systemhersteller sollten den Kunden die Möglichkeit geben, einen zweiten Faktor für die Authentifizierung oder eine Bestätigung der Anwesenheit des Benutzers bereitzustellen (z. B. durch Antippen einer Entsperrtaste in einer App auf dem Telefon).
- Benutzer betroffener Produkte sollten die passive Entsperrfunktion deaktivieren, die keine ausdrückliche Zustimmung des Benutzers erfordert, oder Bluetooth auf mobilen Geräten deaktivieren, wenn es nicht benötigt wird.
Die NCC Group hat technische Hinweise zu den Sicherheitslücken veröffentlicht, die Bluetooth Low Energy, Tesla und Kwikset/Weiser betreffen.
Das Hacken eines Autos aus Hunderten von Kilometern Entfernung zeigt deutlich, wie unsere vernetzte Welt uns für Bedrohungen vom anderen Ende des Landes und manchmal sogar vom anderen Ende der Welt anfällig macht.
Mehr bei NCCgroup.com
Über NCC Group
Die NCC Group hat sich zum Ziel gesetzt, die Welt sicherer zu machen. Als globaler Experte für Cybersicherheit und Risikominderung vertrauen mehr als 14.000 Kunden weltweit darauf, dass die NCC Group ihre wichtigsten Vermögenswerte vor den sich ständig verändernden Bedrohungen schützt. Mit ihrem Wissen, ihrer Erfahrung und ihrer globalen Präsenz ist die NCC Group bestens aufgestellt, um Unternehmen bei der Bewertung, Entwicklung und Bewältigung der sich entwickelnden Cyber-Risiken, denen sie ausgesetzt sind, zu unterstützen.