Sommige iPhones, iPads en Macs gevoelig voor Bluetooth-aanval

Zogenaamde BIAS-aanval
Een nieuw ontdekt beveiligingslek maakt het mogelijk om iPhones, iPads en Macs op korte afstand te kunnen aanvallen via Bluetooth. Het heet Bluetooth Impersonation AttackS (BIAS).

BIAS-lek

Het treft zeker niet alleen Apple-producten, want de kwetsbaarheid is ook gevonden in een groot aantal chips van Intel, Qualcomm en Samsung. De toestellen worden voor de gek gehouden, waardoor ze denken dat ze met een vertrouwd apparaat verbonden zijn. Daarna kan een aanvaller data opvragen en versturen via Bluetooth. Het gaat dus om het nabootsen van een eerder gekoppeld apparaat, reden waarom er van ‘Impersonation’ wordt gesproken.


Wat deze aanval extra gevaarlijk maakt is dat er zowel data opgevraagd als verzonden kan worden. Ook vervelend is dat relatief goedkope apparatuur volstaat, zoals een Raspberry Pi.

Klik om inhoud van YouTube te tonen.
Learn more in YouTube’s privacy policy.

Deze apparaten zijn getroffen door BIAS

De aanval werkt op elk apparaat waarop het Bluetooth Classic-protocol aanwezig is. Het gaat hierbij ook om een aantal recente apparaten:

Het geldt ook voor diverse smarthones van Samsung, Google, LG, Motorola en Nokia. Normaal is Bluetooth beveiligd met een zogenaamde pairing key, die relatief lange tijd wordt gebruikt. Hier blijkt echter een kwetsbaarheid in te zitten, waardoor het misbruikt kan worden.

Bluetooth Classic (oftewel Bluetooth BR/EDR) is een wijdverbreid protocol dat bijvoorbeeld de verbinding legt tussen een telefoon en een draadloze headset. Wil je het naadje van de kous weten, dan kun je deze technische paper bekijken.

De bug is inmiddels gemeld aan de belangengroep Bluetooth Special Interest Group, de organisatie die ook de standaarden uitgeeft. Dat gebeurde al in December. Inmiddels zijn er workarounds beschikbaar en vonden de betrokken het tijd om te reageren. De Bluetooth SIG zal de Bluetooth Core Specification bijwerken, zodat het in de toekomst niet meer misbruikt kan worden. Fabrikanten van smartphones en andere apparaten zullen een beveiligingsupdate moeten uitbrengen.

Wat betekent het voor mij?
Voor een aanval moet iemand op relatief kleine afstand van je zitten. De kans dat dit gebeurt terwijl je thuiswerkt en niet in grote mensenmassa’s rondhangt, is niet zo groot. Ben je toch bezorgd, dan zou je Bluetooth kunnen uitschakelen via Instellingen > Bluetooth op momenten dat je het niet gebruikt.

Ook zou je je Bluetooth-apparaten na gebruik meteen kunnen vergeten: hiervoor tik je op de i achter het accessoire en kies je Vergeet dit apparaat. Je zult dan wel telkens weer opnieuw moeten koppelen.

Reacties: 3 reacties

Reacties zijn gesloten voor dit artikel.