Nieuw bluetooth-lek maakt ongemerkte hack mogelijk
Door een nieuw beveiligingslek in bluetooth zijn Android en Windows ongemerkt te hacken, meldt een beveiligingsbedrijf.
Securitybedrijf Armis ontdekte het lek, dat het BlueBorne heeft genoemd. Omdat bluetooth-apparaten vrij veel rechten hebben, kan de kwetsbaarheid misbruikt worden om apparaten over te nemen. De aanvaller doet zich dan voor als bluetooth-apparaat, en krijgt door het lek toegang zonder dat de eigenaar van het apparaat iets hoeft goed te keuren. Bluetooth hoeft enkel actief te zijn, waarna de aanvaller een apparaat ongemerkt kan overnemen.
Hacker moet dichtbij zitten
Het lek lijkt daarmee op het lek in de wifi-chips van Broadcom van eerder deze zomer. Wifi heeft ook veel rechten binnen apparaten, waardoor gebruikers ook ongemerkt gehackt konden worden. Wel maakt het relatief kleine bereik van bluetooth de dreiging in de praktijk kleiner, omdat aanvallers vlakbij hun slachtoffer moeten zitten.
Ook moet de aanvaller per Android-versie en type toestel een iets andere aanpak gebruiken, wat het maken van één virus moeilijker maakt. Maar heeft een kwaadwillende het op één specifiek persoon gemunt, dan is er wel degelijk sprake van een dreiging.
Android kwetsbaar
Armis heeft het BlueBorne-lek enkele maanden geleden al bij softwaremakers gemeld. iPhones en iPads met iOS 10 zijn niet kwetsbaar voor het lek, oudere iOS-versies wel. Microsoft bracht in juli al een patch voor Windows uit die de kwetsbaarheid oploste. Ook Google bracht een maand geleden een patch uit, maar het is aan de fabrikanten van Android-apparaten om die patch aan gebruikers beschikbaar te stellen.
Daardoor zijn Android-apparaten kwetsbaar zolang ze de patch nog niet hebben. Android-toestellen zonder de nieuwste beveiligingsupdate lopen dus in potentie gevaar als bluetooth is ingeschakeld.