Ist mein Huawei von Blueborne betroffen?

Huawei und die BlueBorne Sicherheitslücke – eine ganzheitliche Betrachtung

Heartbleed, Stagefright und Co. – so hießen in vor gar nicht allzu langer Zeit die Geißeln, die im Android-Bereich nicht nur für ein entsprechendes Medienecho, sondern auch für einiges an Panik gesorgt haben. Klar – das Smartphone, unser liebgewonnener Begleiter, mit dem man viele Dinge des täglichen Lebens erledigt, ist die digitale Schnittstelle schlechthin. Und bei all den Daten, Standorten und Informationen, die wir mit Providern, Dienstleistern und Freunden/Bekannten bewusst oder unbewusst teilen, sorgt so ziemlich nichts für mehr Unruhe als eine breit gefächerte Angriffsfläche: An dieser Stelle öffnet sich der Vorhang für „BlueBorne“, eine nicht unerhebliche Sicherheitslücke, vor der das Bundesamt für Sicherheit in der Informationstechnik (BSI) am 13. September 2017 erstmals warnte.

BlueBorne - Verwundbares Huawei P10 Plus

Während viele Medien meiner Meinung nach heute relativ einseitig über dieses Thema berichten, haben wir hier im Blog im feierabendlichen Chat das Ganze mal aus verschiedenen Perspektiven betrachtet. „Einseitig“ erwähne ich in diesem Kontext speziell, weil vor allem die Smartphone-Userschaft sich angesprochen fühlt respektive fühlen sollte. Das Resultat: Das leidige Update-Thema wird nun wieder losgetreten, ob bei klassischen Nutzern oder Usern, für die ein Root-Zugriff auf Ihr Smartphone unabdingbar ist – worüber sich heutzutage auch über letzteres streiten lässt, aber das ist ein anderes Thema.

Hier könnte Ihre Werbung stehen! :)

Was ist BlueBorne?

Entdeckt wurden die insgesamt acht Sicherheitslücken vom Security-Unternehmen Armis, das sich auf Schwachstellen im Internet of Things (IoT) spezialisiert hat und eben diese Schwachstellen-Sammlung „BlueBorne“ getauft hat. Betroffen sind hier neben den Smartphones viele Geräte, die Bluetooth nutzen, darunter eben auch Linux- und Windows-Systeme.In Summe spricht man von einer Anzahl von über fünf Milliarden Geräte, die betroffen sein könnten, wobei Android- und Linux-Systeme sogar soweit gekapert werden können, dass die Ausführung von Schadcode auf dem Systemen möglich ist. Grundlage hierfür ist dann die Platzierung einer Wurmfunktionalität, die wiederum die automatische Weiterverbreitung von Schadcode auf den betroffenen Geräten ermöglichen kann.

Wie funktioniert das technisch?

Damit ein Angriff erfolgen kann, muss der Angreifer maximal zehn Meter vom betroffenen Gerät entfernt sein, welches eine aktivierte Bluetooth-Funktion haben muss. Hier ist es offensichtlich egal, ob die angegriffene Komponente sichtbar ist oder nach neuen Bluetooth-Partnern sucht oder nicht. Auch bereits bestehende Verbindung zu gekoppelten Geräten wie Kopfhörern & Co. schützen nicht vor einem theoretischen Angriff, der im Optimalfall nicht länger als zehn Sekunden dauert. Was mir theoretisch erst einmal nicht so viel Kopfzerbrechen bereitet, da ich Bluetooth bei der Nicht-Nutzung wirklich meistens ausschalte, wurde vom häufigen Bahnreisenden Rainer ganz anders gesehen: Viele Personen auf engstem Raum, die da teilweise auch Informationen austauschen, die nicht immer für die Allgemeinheit bestimmt sind – das ist ein durchaus denkbares Szenario.

YouTube

Mit dem Laden des Videos akzeptieren Sie die Datenschutzerklärung von YouTube.
Mehr erfahren

Video laden

Ist mein Huawei-Gerät betroffen?

Spätestens jetzt geht die Hexenjagd los und viele Smartphone-User ziehen virtuell mit brennenden Fackeln und Mistgabeln zum Schloss des jeweiligen Herstellers: So stelle ich mir nach dem Lesen diverser Quellen und Foren die aktuelle Situation vor und auch im Familienkreis klingelten heute Abend schon zwei Personen durch, die hier Rat suchten. Schauen wir auf den PC-Markt, so hat Microsoft beispielsweise im Rahmen des aktuellen September-Patchdays die Lücke für Windows 10-Systeme eigenen Angaben zufolge erfolgreich geschlossen. Wie das bei den unterschiedlichen Linux-Distributionen aussieht, kann ich indes nicht beurteilen Hier ist aber davon auszugehen, dass die jeweiligen Hersteller auch zeitnahe Aktualisierungen verteilen werden.

Was bei Desktop-Betriebssystemen noch relativ einfach zu beheben ist, gestaltet sich erwartungsgemäss bei Smartphones ein wenig schwieriger. Herstellerunabhängig hat sich da über die letzten Monate und Jahre doch schon einiges bewegt, bis auf ganz wenige Ausnahmen sind wir aber immer noch weit von zeitnahen (sprich: monatlichen) Updates entfernt. Das heißt im Klartext: Mit sehr grosser Wahrscheinlichkeit ist nicht nur Euer Huawei Gerät betroffen, sondern so ziemlich jedes andere Smartphone eines jeden anderen Herstellers, dessen Google-Sicherheitspatches ein älteres Datum als den September 2017 haben – so zumindest der aktuelle Tenor.

Nachdem wir dann blogintern eine kleine Runde gedreht haben, stellte sich raus: Keins unserer Huawei Geräte – egal mit welchem Patchlevel – hat die Sicherheitsprüfung der kostenlosen App von Armis, dem BlueBorne Vulnerability Scanner, bestanden.

Huawei und die BlueBorne Sicherheitslücke - eine ganzheitliche Betrachtung 1
Die App konnte im App Store nicht gefunden werden. 🙁

Darunter waren das innig geliebte Mate 9, das P10, das P10 Plus, das P9 oder das Nova / Nova plus. Bevor wir jetzt aber wieder die sprichwörtliche „Sau durchs Dorf treiben“ und sich der ein oder andere wieder auf Huaweis Update-Politik einschießt, sei hier gesagt: Nur die wenigsten Nutzer werden ein Gerät in der Hand halten, was hier nicht betroffen sein wird.

Spannender ist indes der Blick über den Tellerrand, denn die App scannt auch nach Erteilung der notwendigen Berechnungen nach weiteren Bluetooth-Geräten in der Umgebung und zeigt direkt an, ob hier etwas im Argen liegt. Hier ist es interessant zu sehen, dass meine heimische NVIDIA SHIELD ebenso wenig von BlueBorne betroffen ist wie unser Google Assistant im Wohnzimmer.

Wie kann man sich vor BlueBorne schützen?

Es klingt banal, aber sofern Ihr ein Desktop-System nutzt, spielt – sofern das nicht automatisch geschieht – die aktuellen notwendigen Updates ein. Smartphone-Nutzer sollten indes die Bluetooth-Funktion – sofern nicht genutzt – ausschalten, bis der jeweilige Hersteller ein passendes Updatepaket bereitgestellt hat. Das kann dauern und mit Sicherheit wird das auch dauern, denn wie gewohnt wird ein solcher Patch nicht alle User und Geräte auf einmal erreichen. Und wen es beruhigt: Ich wollte einfach einmal schauen, wie ein recht aktuelles Lineage OS 14.1 auf Basis von Android 7.1.2 auf einem alten Moto X 2014 denn so mit der Sicherheitslücke umgeht. Wenngleich die aktuelle Version auf den 8. September 2017 datiert ist, ist der Stand der Google-Sicherheitsupdates immer noch aus August. Wirft man dann mal einen Blick auf die vorbildliche Taktung der LineageOS-Aktualisierungen, wird ein ausserplanmässiges Aktualisieren aller betroffenen Smartphones eine lange logistische Herausforderung!

Wie Ihr mit der Lücke selbst umgeht, bleibt selbstverständlich Euch überlassen. Seid Ihr mit Bluetooth-Headsets unterwegs – ob in der Bahn oder woanders – und wollt auf den kabellosen Komfort nicht verzichten, werdet Ihr auch weiterhin die Bluetooth-Schnittstelle Eures Smartphones nutzen wollen. Spinnt man das Ganze weiter, könnten auch Bluetooth-Eingabegeräte, meine Withings-/Nokia-Waage oder die elektrische Zahnbürste der Kollegin Berit Ziel von Attacken sein, aber so weit wollen wir jetzt erst einmal gar nicht gehen. Ein jeder hat ein anderes Nutzungsverhalten: Ich für meinen Teil sehe das relativ gelassen, da ich viel im Auto unterwegs bin und hier das klassische Kabel samt Android Auto nutze. Bluetooth ist aber stets an, möchte doch meine Garmin fenix 5 über eben diese Schnittstelle mit dem Smartphone kommunizieren, wie es auch meine Waage tut.

Ich will damit sagen, dass – wie immer – nichts so heiß gegessen wie es gekocht wird. Wen Sicherheitsupdates bisher nicht interessiert haben, wird auch bei BlueBorne schlichtweg mit den Schultern zucken. Wer bisher über die Geschwindigkeit, mit der Updates von Huawei verteilt worden, verärgert war, wird sich jetzt bestätigt fühlen und weiter wettern – sei’s drum. Aber noch einmal: An dieser Stelle sehe ich keinen Grund, auch nur irgendeinen Hersteller in eine Ecke zu stellen, denn die Sammlung an Sicherheitslücken unter dem Namen „BlueBorne“ ist eben geräte- und systemübergreifend. Ein perfektes Beispiel ist hierfür übrigens ein Gerät in unserem Haushalt, was neben dem Smartphone wohl am frequentiertesten ist und was aufgrund seines Alters wohl eher weniger gute Aussichten für ein zeitnahes Update hat: Ein TV von Samsung 😉 !

BlueBorne - Verwundbares SamsungTV

Wer indes generell auf Bluetooth und/oder WLAN am Smartphone verzichten kann und hier wirklich Bedenken hat, dass etwas passieren könnte, sollte die Schnittstellen bei Nicht-Nutzung einfach abschalten. So lautet auch die Empfehlung des BSI. Sind Updates vorhanden, können diese eingespielt werden, sofern die Geräte noch vom Hersteller unterstützt werden. Speziell bei älteren Geräten, die keinen Support mehr bekommen, ist allerdings davon auszugehen, dass diese dauerhaft angreifbar bleiben werden – speziell das hat man ja schon bei anderen Geräten im Zeitalter des Internet der Dinge bereits gesehen!

Hier könnte Ihre Werbung stehen! :)

9 Kommentare

  1. marwin 16. September 2017
    • Marco 18. September 2017
      • M.G 4. Oktober 2017
        • Marco 4. Oktober 2017
          • M.G 4. Oktober 2017
  2. marwin 18. September 2017
    • Marco 20. September 2017
  3. Stefan 21. September 2017
    • Oliver Pifferi 21. September 2017

Schreibe einen Kommentar

Die folgenden im Rahmen der DSGVO notwendigen Bedingungen müssen gelesen und akzeptiert werden:
Durch Abschicken des Formulares wird dein Name, E-Mail-Adresse und eingegebene Text in der Datenbank gespeichert. Für weitere Informationen wirf bitte einen Blick in die Datenschutzerklärung.