Bluetooth Sicherheitslücke – Entwarnung für Hörgeräte
Das Bundesamt für Sicherheit und Informationstechnik warnt derzeit vor einer Bluetoothschwachstelle von der bis zu 5.000.000.000 Geräte betroffen sein könnten.
Viele Hörgeräte arbeiten mit Bluetooth, und wir wollten wissen ob wir nun eine Warnung herausgeben sollten oder nicht.
Betroffen sind neben Smartphones, Tablets und Laptops aller Betriebssysteme auch Geräte des Internet of Things (IoT) wie etwa Freisprecheinrichtungen. Ist ein Gerät einmal über Bluetooth infiziert worden, kann das Gerät unbemerkt aus dem Internet weitere Schadsoftware nachladen. (Auszug BSI Warnung)
Dank einer App konnten wir Hörgeräte verschiedener Hersteller auf die Schwachstelle prüfen, unter anderen ReSound Linx, Linx², Bernafon Zerena, Signia BT, Oticon OPN, Wid3ex Beyond und Starkey Halo.
Die Ergebnisse waren beruhigend. Bei keinem der getesteten Hörgeräte konnte ein erhöhtes Risiko festgestellt werden. Die Ergebnisse waren über alle getesteten Geräte nur mit einem geringen Risiko gekennzeichnet. Auf das dünne Eis „kein Risiko“ geht die Auswertung natürlich nicht, in sofern schneiden Hörgeräte bei dem Test mit einem sehr guten Ergebnis ab.
Für den Test haben wir die Hörgeräte zuerst in den Kopplungsmodus versetzt um eine Atacke wahrscheinlicher zu machen und dann auch außerhalb des normalen Kopplungsmodus die Funktion kontrolliert. Der Entdecker der Bluetoothschwachstelle hat die nötige Software für den Test bereitgestellt. Die getesteten Hörgeräte waren mit der aktuellen Firmware versehen, ältere Firmwareversionen sind von uns nicht getestet worden.
Das neue Phonak Audéo Direct hatten wir leider noch nicht im Haus, wobei wir hoffen das hier der Hersteller selbst noch Testergebnisse bereitstellt.
Hier noch die Pressemitteilung des BSI
Bluetooth-Schwachstellen – BSI empfiehlt Update oder Abschaltung
Ort Bonn Datum 13.09.2017Über fünf Milliarden Geräte mit Bluetooth-Funktion sind von mehreren Sicherheitslücken betroffen, die potentiellen Angreifern die vollständige Kontrolle über das Gerät ermöglichen. Das geht aus einem Bericht von Sicherheitsforschern hervor. Die Schwachstellen können mit einer Wurmfunktionalität ausgenutzt werden, die eine automatische Weiterverbreitung von Schadcode ermöglicht. Einige Hersteller haben bereits Sicherheitsupdates für diese Sicherheitslücken bereitgestellt. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt daher, zur Verfügung stehende Updates umgehend einzuspielen und bis dahin alle Bluetooth-Funktionen zu deaktivieren. Geräte, die vom Hersteller nicht mehr unterstützt oder nicht mit dem Internet verbunden werden können, werden voraussichtlich nicht mit Updates versorgt werden. Diese Geräte bleiben dann dauerhaft angreifbar.
Betroffen sind neben Smartphones, Tablets und Laptops aller Betriebssysteme auch Geräte des Internet of Things (IoT) wie etwa Freisprecheinrichtungen. Ist ein Gerät einmal über Bluetooth infiziert worden, kann das Gerät unbemerkt aus dem Internet weitere Schadsoftware nachladen. Ein Angreifer kann dann sensible Daten stehlen, Passwörter ausspähen oder die Geräte einem Botnetz zufügen. Eine aktive Bluetooth-Verbindung ist dazu nicht mehr nötig. Geräte, die nicht mit dem Internet verbunden werden können, verbreiten unter Umständen dennoch automatisch die Schadsoftware an andere Bluetooth-Geräte weiter.
Grundsätzlich empfiehlt das BSI, Bluetooth und andere Kommunikationskanäle wie etwa W-Lan nur dann zu aktivieren, wenn sie tatsächlich gebraucht werden. Weitere Tipps und Empfehlungen hält das BSI unter www.bsi-fuer-buerger.de bereit.