Ernstig lek in Bluetooth ontdekt: iPhone, iPad en Mac al veilig

Door: Raymon Mens - 0 reacties
Bluetooth 16x9
Afbeelding: AFP/Omar Torres

Onderzoekers van twee universiteiten hebben een ernstig lek in het Bluetooth-protocol ontdekt. Daarmee kunnen kwaadwillenden alle communicatie die via Bluetooth verloopt afluisteren. Denk aan telefoongesprekken, verstuurde bestanden, pushberichten naar je Apple Watch en andere audio.

Het goede nieuws is dat de meeste apparaten van Apple al veilig zijn. Grote technologieĀ­bedrijven waren voor de publicatie van het lek op de hoogte gesteld. Een iPhone of iPad met iOSĀ 12.4 is veilig, evenals een Mac met macOS Mojave 10.14.6 of High Sierra en Sierra met beveiligingsupdate 2019-004.

Gat in Bluetooth, dit ging er fout

Het lek zat in alle Bluetooth-versies die de afgelopen jaren zijn gebruikt, van 1.0 tot en met 5.1. Het probleem zat in de versleuteling van de draadloze verbinding. Wanneer twee apparaten verbinding met elkaar maken, onderhandelen ze over de sterkte van de encryptiesleutel. Moderne apparaten ondersteunen een sterkere encryptie, maar omdat Bluetooth backwards compatible is, kan niet altijd van de sterkste versleuteling uit worden gegaan.

Onderzoekers van de universiteiten van Singapore en Oxford ontdekten dat het heel makkelijk was om Bluetooth tot een zwakke versleuteling te dwingen. Dit kon zelfs bij apparaten die al verbinding met elkaar hadden. Een aanvaller kon de verbinding onderscheppen, de versleuteling op zijn zwakst zetten en de originele verbinding weer herstellen. Als een zeer zwakke versleuteling werd gebruikt, bijvoorbeeld van 1 byte, dan was alle communicatie met weinig moeite af te luisteren.

Bluetooth 5.0
Klik/tap voor groter. Afbeelding: Pexels

Apple, Microsoft en Google hebben gepatcht

Het lek is na ontdekking eerst aan Bluetooth SIG, de autoriteit die het Bluetooth-protocol ontwikkelt, gerapporteerd. Daardoor hebben grote techbedrijven de tijd gehad om updates voor te bereiden. Apple-apparaten zijn sinds 22 juni veilig, toen kwam iOS 12.4 uit. Android-smartphones moeten minimaal de Android-beveiligingspatch van 1 augustus hebben. Windows 10 is ook veilig, maar Windows 7 niet. Microsoft heeft voor gebruikers van oudere Windows-versies wel een handmatige patch beschikbaar gesteld.

Reacties

0 reacties