Im Rahmen unserer Websites setzen wir Cookies ein. Informationen zu den Cookies und wie Ihr der Verwendung von Cookies jederzeit widersprechen bzw. deren Nutzung beenden könnt, findet Ihr in unserer Datenschutzerklärung.

2 Min Lesezeit 13 Kommentare

Zu wenige Geräte bekommen einen BlueBorne-Patch

Falls Ihr in den vergangenen Tagen in der Tech-Presse nachgelesen habt, seid Ihr sicherlich über eine BlueBorne-Meldung gestoßen. Die Sicherheitslücke betrifft mit wenigen Ausnahmen alle Android-Smartphones, aber auch Smartwatches und Fernseher. Erst ein Sicherheitsupdate kann die Lücke schließen. Wir listen die ersten Geräte auf, die entsprechende Updates bekommen.

Eine mangelhafte Implementierung des Bluetooth-Protokolls im Linux-Kernel führt unter anderem in Android-Geräten, aber auch in Uhren und Fernsehgeräten, darunter auch Geräten von Samsung dazu, dass Angreifer aus einer Entfernung von rund zehn Metern betroffene Geräte fernsteuern können. Dann lassen sich Mikrofone abhören oder anderer Code aus der Ferne ausführen.

Sony4kTVamazon
Auch Sony-Fernsehgeräte mit Android und Bluetooth lassen sich per BlueBorne übernehmen. / © Amazon.de

Zumindest für Android hat Google mit dem Sicherheitspatch für September bereits eine Lösung für Hersteller sämtlicher Android-Geräte bereitgestellt. Fürs Google Pixel wird der Patch auch schon ausgeliefert und Geräte der Nexus-Familie werden ihn auch erhalten; darunter sogar das Nexus 6 aus dem Jahr 2014.

Samsung liefere in den USA fürs Note 8 bereits Updates mit BlueBorne-Patch aus, heißt es bei TheAndroidSoul; und diese seien sogar noch auf Sicherheitspatch-Stand August. Offenbar hat Samsung den Patch prompt selbst implementiert, ohne auf Google zu warten. Doch wie steht es um die Tizen-Uhr Gear S3?

Während Samsung offenbar den Patch für die Android-Smartphones zeitnah bereitstellen könnte, hüllt sich der Technikkonzern bezüglich der übrigen Hardware in Schweigen. Selbst das Sicherheitsunternehmen und BlueBorne-Entdecker Armis bemängelt, dass sich Samsung nach der Warnung im April nicht zurückgemeldet habe. Das ist ärgerlich, schließlich sind auch die weit verbreiteten TV-Geräte und der Family-Hub-Kühlschrank von der Lücke betroffen und sollten gepatcht werden, ehe ein Nachbar oder Passant Euch beim Fernsehen beobachtet.

samsung gear sport app homescreen
Samsung darf bei der Patch-Politik nicht bummeln, denn es geht um viel Vertrauen. / © AndroidPIT

Je mehr Zeit ins Land geht, desto ausgefeilter werden die Exploits der offenen Sicherheitslücken. Wie man diese ausnutzt, geht klar aus der Dokumentation hervor. Welche konkrete Malware man über sie einschleust oder welche Befehle sich ausführen lassen, können die Angreifer den Entwickler-Dokumentationen der betroffenen Geräte entnehmen.

Schutz von Eurer Seite besteht kurzfristig darin, nicht verwendetes Bluetooth in den Geräten zu deaktivieren. Langfristig solltet Ihr eintreffende Updates zeitnah installieren, damit Ihr Eure Geräte wieder uneingeschränkt und sicher verwenden könnt.

Wollt Ihr nachsehen, ob Euer Gerät oder Geräte in Eurer Umgebung von BlueBorne betroffen sind? Dann ladet Euch die App BlueBorne Vulnerability Scanner von Armis im Play Store herunter und schaut nach.

Dank ist diese Seite frei von Werbebannern

Top-Kommentare der Community

  • Martin 16.09.2017

    Also wenn es deiner Meinung nach sowieso kaum neue Erkenntnisse beim abhoeren bzw. beobachten des Nachbarn gibt, warum klebst du dann deine Kameras ab ? Irgendwie widersprechen tust du dir schon ;)

  • Stefan Soroway 15.09.2017

    "Schutz von Eurer Seite besteht kurzfristig darin, nicht verwendetes Bluetooth in den Geräten zu deaktivieren." Mach ich schon immer. Egal ob Patch oder nicht. Braucht doch auch unnötig Akku.

13 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • Sony hat ebenfalls die Sicherheitslücke mit dem September Sicherheitsupdate in einigen seiner Android Smartphones geschlossen


  • Gut, dass ihr auch darüber informiert. Aber leider falsch!

    "Eine mangelhafte Implementierung des Bluetooth-Protokolls im Linux-Kernel führt unter anderem in Android-Geräten"

    Der Linux-Kernel ist nur eine betroffene Stelle (CVE-2017-1000251)
    Eine weitere ist der Bluetooth-Stack BlueZ von Linux (CVE-2017-1000250)

    Android verwendet einen Linux-Kernel. Also sollten die Geräte auf jeden Fall einen Kernel-Patch erhalten.

    Android verwendet kein BlueZ, so dass auch dieses Paket nicht aktualisiert werden muss.

    Android ist gegenüber Linux stark verändert und besitzt weitere Fehler:
    - CVE-2017-0785
    - CVE-2017-0781
    - CVE-2017-0782
    - CVE-2017-0783

    Es bedarf also weiterer zu patchender Stellen.

    Es gibt Portierungen für BlueZ unter Android und auf XDA Developers gibt es Beschreibungen dazu. Wer also sein Gerät modifiziert hat, muss dieses Paket aktualisieren.

    Die Patches für Linux stehen bereit. Wer sein Linux-System aktuell hält, ist nach aktuellem Wissenstand sicher. Die Umsetzung für Android ist ebenfalls erfolgt, AOSP hat die Quellen aktualisiert und Google hat diese in ihre Geräte implementiert und die Updates verteilt.

    Windows (CVE-2017-8628) und und iOS (CVE-2017-14315) waren ebenfalls betroffen. Auch dafür gibt es schon Patches und im Gegensatz zu Android bekommen alle Geräte diese. Nur der Anwender kann sie verhindern. Unter iOS sind die älteren Geräte ausgeschlossen, die kein iOS 10 oder älter mehr bekommen haben.

    Im Gegensatz zu Android und Linux waren die Auswirkungen unter Windows und iOS nicht ganz so groß. Eine komplette Kontrolle der Geräte ist den Forschern auf diesen Systemen nicht gelungen.

    Aus der Summe wird verständlich, warum Android endlich ein funktionierendes Patch-System benötigt. Hoffentlich wird das mit Oreo auch praktisch verbreitet. Allerdings wird es noch etwa vier Jahre oder mehr dauern, bis die älteren Android-Versionen einen vernachlässigbaren Anteil haben werden. Das schließe ich aus den aktuellen Zahlen der im Gebrauch befindlichen Android-Versionen.


  •   40
    Gelöschter Account 16.09.2017 Link zum Kommentar

    Eric, deine Umfrage finde ich mal wieder wirklich klasse. In meinem Fall haben sie das Vertrauen nicht erst seit dieser Lücke verloren.

    Wer Android nutzen möchte und sich nur annähernd für das beseitigen von Sicherheitslücken interessiert und dieses am besten zeitnah, dem bleibt nur übrig sich ein Pixel oder Nexus zuzulegen. Denn nur bei Google selbst kann man sich so ziemlich sicher sein, einen erforderlichen Patch zu erhalten oder ein zügiges Handeln. Auch wenn das meist bei Google selbst mir persönlich alles viel zu lange dauert. Kommt dann ein Patch für die genannten Geräte, muss man auch noch deren blöde Updatewellen abwarten, welches sich dann auch nochmal bis zu 3 Wochen hinziehen kann.

    Auch Hersteller, die auf das handelsübliche Stock Android setzen und eigentlich den Patch nur weiterleiten müssten und ohne Anpassung ausliefern könnten, blocken meist das zügige Schliessen dieser Gefahren. Stock von anderen Herstellern, ist in meinen Augen kein Indiz mehr dafür, zügig versorgt zu werden. Unter Motorola war das noch anders aber wir werden ja künftig sehen, wie sich hier Nokia und seinem Versprechen schlägt.

    Die restlichen Hersteller mit ihren ca. 14000 Geräten auf dem Markt, interessiert das meist garnicht, liefern schleppend oder meist überhaupt nicht. Und da kommt das wieder zum tragen, was hier so manches Mal einfach ausgeblendet wird wenn es heißt, " es gibt doch auch schon günstige Alternativen für rund 250€" Aber nicht im Bezug auf etwaige und immer wieder anfallende Sicherheitslücken die eigentlich geschlossen werden müssten. Da bleibt man nämlich immer auf der Strecke und offen wie ein Scheunentor. Bei den Herstellern stehen immer nur die hochpreisigen Geräte im Fokus, der Rest muss halt schauen wie er klar kommt.

    Android ist mit seinen ganzen Herstellern und Fragmentierungen für mich nur noch ein Desaster sondergleichen und bin selbst froh nach Apple gewechselt zu sein um mich diesem Misstand zu entziehen. Wie bereits schon oft erwähnt, liegt mein Hauptaugenmerk mittlerweile in der Update- und Sicherheitsversorgung und das macht in meinen Augen Apple am besten. Lücke bekannt, wird diese umgehend und das für alle Geräte gleichzeitig (Geräte, die älter als 5 Jahre sind hier ausgenommen) geschlossen. Kein wochenlanges warten auf eine Welle, die mich dann irgendwann mal erreicht. Man muss den Apple Verein und deren System nicht gut finden aber das, machen sie jedenfalls vorbildlich.

    Unabhängig davon, stelle ich mal wieder auch Samsung in Frage. Die stellen ein neues Flagschiff mit dem Note 8 für 1000€ vor und das dann noch mit Nougat ausgeliefert wird. Wer da schon nicht bemerkt, dass da etwas schief läuft, scheint ne rosa Brille zu tragen.

    Alles nur meine Ansicht der Dinge aber da gibt es in meinen Augen nichts dran schön zu reden. Ich jedenfalls, kaufe mir nun seit längerem auch Service für mein Geld und nicht nur einfach das Endprodukt in Form von Hardware. Lasse mich auch nicht mehr von der teils schönen Optik der Geräte blenden. Meinetwegen könnten die Geräte auch die Maße 90-60-90 und das Ding nen Minirock und blonde Haare haben, mir egal. (Nur sarkastisch gemeint und nicht als Frauenanfeindung gedacht). Die wollen mein Geld also möchte ich auch etwas dafür als Gegenleistung und das ist nicht nur das Stück Technik auf meinem Wohnzimmertisch. Für die mittlerweile unverschämten Preise, kann man aus meiner Sicht einiges mehr erwarten.


    • Das Note8 wurde am 23.08. vorgestellt. Android 8.0 kam meines Wissens nach nur 2 Tage davor final raus... Wie soll Samsung das bitte machen? Selbst wenn Samsung auf nahezu Stock-Android setzen würde, wäre das fast unmöglich...
      Das hat auch nicht wirklich etwas mit rosaroter Brille zu tun...

      Außerdem: Was spielt denn die Versionsnummer für eine Rolle? Sämtliche Funktionen hat das Note8 bereits und wie im Artikel steht, verteilt Samsung bereits den Patch für das BlueBorne-Problem.
      Google ist da auch nicht schneller.

      Zugegeben, Apple macht das mit den Updates wirklich vorbildlich, aber richtig Vergleichbar ist es leider auch nicht. Google selbst liefert gerade einmal zwei Jahre Updates und ein Jahr Sicherheitspatches. Stock-Android ist also auch nicht die Lösung. Samsung verteilt bei den Flaggschiffen schließlich auch zwei Jahre Updates und ein weiteres Jahr Sicherheitspatches, meistens monatlich.

      Wenn man Updates nimmt, macht es Samsung ehrlich gesagt sogar noch mit am Besten... Man muss es natürlich richtig vergleichen. Das ein 1000€-Pixel XL schneller Updates kriegt, als ein 200€-A3... Ja herzlichen Glückwunsch... Wenn man aber Flaggschiff mit Flaggschiff vergleicht, ist Samsung im Android-Bereich noch sehr gut dabei...


    • Finde die Updatekritik durchaus berechtigt ⚠️

      Hier geht es um ein Milliarden Business und ich bin mir ziemlich sicher, dass die großen Firmen schon Wochen vor Google Release die finalen Codes für neueste OS Versionen haben!?

      Samsung hat in letzter Zeit oft Devices vorgestellt mit altem OS zum Release und dann eben 2x Major Update und Tschüss ⛔


  • Hallo zusammen,
    ich habe zwei S7 hier - das von meiner Frau und meines. Bei beiden habe ich den BlueBorne Scanner von Armis installiert. Ergebnis beim Check bei beiden: Vulnerable. ABER: Wenn ich "Scan Nearby Devices" mache, dann findet der Scanner zwar diverse BT-Geräte (in der U-Bahn z.B.), aber meine S7 sind unsichtbar; d.h. der Nearby Scan des einen Handies findet das andere nicht. Sind meine Handies nun sicher oder nicht?
    Gruß, Chris


  • Laut Scanner ist mein S7 immer noch angreifbar.


  • Also bei TV Geräten mag der Fehler auch vorhanden sein aber mal ehrlich wer will den Nachbarn abhören oder sehen. Die Daten die man da erlangt sind bescheiden.
    Im übrigen sind die Kameras bei meinen TV Geräten seit Jahren abgeklebt.


    • Also wenn es deiner Meinung nach sowieso kaum neue Erkenntnisse beim abhoeren bzw. beobachten des Nachbarn gibt, warum klebst du dann deine Kameras ab ? Irgendwie widersprechen tust du dir schon ;)


    • So manch ein Vermieter hat sich schon zu Zeiten reiner Dumb-Technik dazu hinreißen lassen, die junge Studentin im Bad zu filmen. Gelegenheit macht bekanntlich Diebe. Ich möchte Deinen Kommentar lesen, wenn Du erfährst, dass Du (aus welchen Gründen auch immer) gefilmt und abgehört wurdest und davon erfährst.


  • Sind davon auch WebOS TVs die auf Linux basieren betroffen oder nur Windows, Android Tizen Devices???


  • "Schutz von Eurer Seite besteht kurzfristig darin, nicht verwendetes Bluetooth in den Geräten zu deaktivieren." Mach ich schon immer. Egal ob Patch oder nicht. Braucht doch auch unnötig Akku.

Empfohlene Artikel

Dank ist diese Seite frei von Werbebannern