Forscher des Center for IT-Security, Privacy, and Accountability (CISPA), haben eine ernsthafte Sicherheitslücke in der weit verbreiteten Kurzstrecken-Funkverbindung Bluetooth entdeckt und veröffentlicht. Demnach soll es potenziellen Angreifen möglich sein, mit Bluetooth ausgestattete Geräte auf relativ einfache Weise zu hacken.

Die Lücke mit dem Namen KNOB (Key Negotiation of Bluetooth) ist zwar als durchaus ernst zu nehmen, kann aber nur innerhalb der Bluetooth-Reichweite ausgenutzt werden, und auch nur während des sogenannten Pairing-Vorgangs, bei dem zwei Geräte Verbindung miteinander aufnehmen. Beispielsweise, während der Nutzer einen Buteooth-Kopfhörer oder eine drahtlose Tastatur koppelt. Ein "Man-in-The-Middle" kann zuschlagen, während die Geräte untereinander die Verschlüsselung aushandeln. Bei diesem Vorgang ist die Sicherheit reduziert und die Verschlüsselung lässt sich mittels Brute-Force quasi in Echtzeit knacken. Der so erlangte Zugriff erlaubt dem Angreifer nicht nur Daten auszuspähen, sondern auch Eingaben mitzulesen.


Der Bug ist nicht Gerätespezifisch, sondern betrifft alle mit Bluetooth ausgestatteten Geräte, die Bluetooth Basic Rate/Enhanced Data Rate (Bluetooth BR/EDR) unterstützen – das sind praktisch alle. Die Forscher haben Chips von Broadcom, Qualcomm, Apple, Intel und Chicony getestet, wie auf der offiziellen Webseite zu KNOB berichtet wird.


Die Forscher zeigten sich in Ihrem Bericht erstaunt darüber, wie eine so fundamentale Lücke über einen so langen Zeitraum unentdeckt bleiben konnte: "The KNOB attack is a serious threat to the security and privacy of all Bluetooth users. We were surprised to discover such fundamental issues in a widely used and 20 years old standard.", so die Autoren Daniele Antonioli, Nils Ole Tippenhauer und Kasper B. Rasmussen der University of Oxford in der PDF.

Die meisten Hersteller, inklusive Apple, sollen inzwischen reagiert und entsprechende Sicherheitsupdates verteilt haben. Abgesehen von dieser Sicherheitslücke empfiehlt es sich immer, die neuesten Sicherheitsupdates gleich nach Erscheinen zu installieren.