Groot Bluetooth-lek ontdekt, inmiddels gefixt door Apple

De Bluetooth SIG heeft erkend dat er een groot Bluetooth-lek is ontdekt. Het is zo ernstig dat de Bluetooth-specificatie ervoor moest worden aangepast. Apple heeft het lek inmiddels met spoed gedicht.

Groot Bluetooth-lek gefixt door Apple

De Bluetooth SIG is de officiële organisatie die de Bluetooth-specificaties vaststelt. Het lek dat nu is ontdekt maakt het eenvoudig voor een aanvaller om met een brute kracht-aanval een koppeling te maken met je toestel. Bluetooth werkt zodanig dat je op beide apparaten toestemming moet geven dat je verbinding wilt maken. Het ene apparaat stuurt een verzoek en op het andere apparaat moet je het koppelingsverzoek accepteren. Meestal gaat het om twee apparaten die beide eigendom van jezelf zijn. Maar bij deze aanval kan een vreemde ook een koppeling maken met jouw apparaten. Hierbij wordt gebruik gemaakt van encryptiesleutels.


Beveiligingssleutel van één karakter
De kwetsbaarheid houdt in dat een aanvaller kan rommelen met het encryptie-proces en daarbij een veel kortere encryptiesleutel kan forceren. Deze kan zelfs één karakter lang zijn. Op die manier is het heel gemakkelijk om alle mogelijkheden langs te lopen met een brute force-aanval.

Bluetooth-developer

Het probleem is vervolgens dat niet alle Bluetooth-specificaties een minimale lengte van de encryptiesleutel vereisen. In dat geval kan slechts één karakter zijn toegestaan, waardoor de geheime sleutel wel heel gemakkelijk te raden is. Maar zelfs in gevallen waarbij een minimale lengte was vereist, was het mogelijk om dit te omzeilen door een kortere lengte in te stellen.

Apple heeft het Bluetooth-lek al opgelost

Bedrijven die Bluetooth-apparatuur maken moeten nu updates uitvoeren om te zorgen dat de encryptiesleutels minimaal 7 karakters lang zijn. De Bluetooth-specificaties zijn hier nu ook op aangepast. Ben je Apple-gebruiker, dan hoef je in ieder geval niets te vrezen, want voordat het lek openbaar is gemaakt is het al gefixt in nieuwste updates voor alle apparaten. Je moet daarvoor uiteraard wel zorgen dat je de nieuwste versie van iOS, macOS en dergelijke geïnstalleerd hebt.

De volgende versies bevatten de fix: iOS 12.4, watchOS 5.3, tvOS 12.4 en macOS Mojave 10.14.6. Deze verschenen op 22 juli. Ook verschenen er beveiligingsupdates voor oudere Macs, namelijk macOS High Sierra 10.13.6 en macOS Sierra 10.12.6. In de lijst met Apple’s beveiligingsupdates lees je meer informatie.

Reacties: 4 reacties

Reacties zijn gesloten voor dit artikel.