BlueTooth-Untersuchung in London

Einführung

Das wohl verbreitete Mittel zur drahtlosen Übermittlung von Daten ist derzeit das Bluetooth-Protokoll. Fast alle modernen Handys verfügen über ein entsprechendes Modul, das den Datenaustausch mit gleichartigen Geräten, wie auch mit kabellosen Headsets ermöglicht.
Auch Smartphones, Pocket PCs, und einige Notebooks besitzen diesen „Blauzahn“.

Wie jede Massenerscheinung im Hightech-Bereich zog Bluetooth (im weiteren BT) schnell die Aufmerksamkeit der Hacker auf sich. Das Problem verschärfte sich noch, da nicht nur die Anwender die Besonderheiten der BT-Funktion in ihren Telefonen nicht vollständig verstanden, sondern auch viele Hersteller mobiler Geräte bei der Implementierung von BT nicht sorgfältig genug vorgingen. Und so existieren neben den traditionellen Methoden des Social Engineering auch Schwachstellen im BT-Protokoll selbst.

Anfang dieses Jahres veröffentlichte Kaspersky Lab einen Artikel über die BT-Architektur und ihre bekanntesten Sicherheitslücken. Unsere Forschungen auf diesem Gebiet werden ständig fortgesetzt. Besonders interessant ist dabei natürlich, in wie weit die BT-Probleme von Viren ausgenutzt werden können. Mobile Telefone fielen bereits Computerviren zum Opfer. Der bekannteste Handy-Virus ist Wurm Cabir, der für seine Verbreitung ebenfalls BT verwendet.

Dies sind die drei wichtigsten Punkte:

  • Social Engineering: Hacker können Zugriff auf die Daten Ihres Telefons erhalten, indem sie über BT den User zum Datentausch überreden, oder um ihn davon zu überzeugen, die BT-Sicherheitseinstellungen zu verringern oder sogar ganz abzuschalten.
  • Sicherheitslücken im Protokoll: Hacker können Daten von Ihrem Telefon stehlen, Anrufe von Ihrem Telefon aus tätigen oder Nachrichten versenden, DoS-Attacken auf das Telefon verüben, bei Verwendung einer Freisprecheinrichtung / Headset Ihre Gespräche mithören usw.
  • Bedrohung durch Viren: Das Telefon kann durch einen mobilen Wurm infiziert werden, der sich dann von Ihrem Telefon aus weiterverschickt (nicht nur über BT, sondern beispielsweise auch über MMS). Ihre Daten können beschädigt, gestohlen oder verschlüsselt werden.

Entscheidend ist in den meisten Fällen, ob der BT-Modus „Visible to other devices“ („sichtbar für alle“) aktiviert wurde und sich somit auch Angreifern zu erkennen gibt. Es zwar auch bereits Methoden zum Entdecken von Handys die nach außen hin nicht sichtbar sind. Im vorliegenden Artikel wird dieser Ansatz jedoch nicht betrachtet, zumal die Umsetzung nicht ganz trivial ist: Denn das Herausfinden der benötigten MAC-Adresse ist sehr zeitaufwendig, und es gibt keine Garantie dafür, dass die Suche auch erfolgreich endet.

Ende des vergangenen und Anfang diesen Jahres führten wir einige Tests durch, um eine Statistik über die Anzahl der Telefone mit eingeschaltetem BT in Moskau zu erhalten. Diese Tests wurden an Orten mit hohem Menschenaufkommen durchgeführt – beispielsweise in Supermärkten und in der Moskauer U-Bahn. Während dieser Tests fanden wir pro Stunde ca. 100 Geräte. Keine sehr hohe Zahle, aber immer noch problematisch genug, wenn eines der Handys mit Cabir infiziert wurde.

Auf der Londoner IT-Messe InfoSecurity 2006 stand nicht nur die Untersuchung der drahtlosen WiFi-Netze auf dem Plan, sondern auch der BT-Geräte. Die Messe war dafür ausgezeichnet geeignet, da jede Menge Besucher vor Ort waren. Weitere Tests waren für verschiedene Stellen Londons, und auch der Londoner U-Bahn, geplant, um die Daten im Anschluss mit der Moskauer Statistik zu vergleichen.

Hier möchten wir anmerken, dass im Laufe der drei Testtage über 2000 Geräte mit BT im sichtbaren Modus gefunden wurden. Über die Hälfte davon waren Geräte der Besucher und Mitarbeiter von InfoSecurity-Ausstellern. Unser Partnerunternehmen F-Secure führte kürzlich auf der CeBIT 2006 eine ähnliche Datensammlung durch. Dort betrug die Anzahl der entdeckten Geräte etwa 12 000. Berücksichtigt man die Tatsache, dass die CeBIT rund 15 mal grösser als die InfoSecurity ist, kann man eine gewisse Übereinstimmung unserer und der finnischen Ergebnisse feststellen.

Außer der unmittelbaren Sammlung statistischer Daten, die wir auf unserem Kaspersky Lab Stand zeitnah präsentierten, stellten wir uns die Aufgabe, mobile Malware zu fangen. Zu diesem Zweck waren unsere Notebooks und Telefone auf den Modus „sichtbar für alle“ konfiguriert, mit abgeschalteter Autorisierung bei der Annahme von Dateien, und ohne automatische Speicherung aller empfangenen Daten. Bei der Namensvergabe unserer „Virenfallen“ berücksichtigten wir zudem, dass sich die meisten mobilen Würmer als erstes auf das Gerät verschicken, dass auch als erstes in der Liste aufgefundener Verbindungen steht.

Für die Durchführung der Tests verwendeten wir die Programme Blue Soleil, Blue Auditor und BTScanner.

Der erste Teil der Tests wurde in den Hallen der InfoSecurity durchgeführt. In den ersten Tagen der Messe war die Zahl der aufgefundenen Geräte derart hoch, dass unsere Scanner kaum noch mit der Datenflut mithalten konnten. Am letzten Messetag, als die Besucherflut schon ein wenig zurückging, fand ich pro Stunde über 700 Geräte! Es ist wohl verständlich, dass, wenn auf der Messe ein infiziertes Telefon ist, innerhalb weniger Minuten praktisch alle angreifbaren Geräte ebenfalls infiziert werden könnten.

Der zweite Teil unseres Tests fand gleichzeitig mit der Untersuchung der WLAN-Netze im Geschäftsviertel Canary Wharf statt, weiterhin in der Londoner U-Bahn und auf einigen Bahnhöfen Londons (Victoria, King’s Cross, Waterloo) zur Hauptgeschäftszeit.

Es existieren bei uns mehrere Wahrscheinlichkeits-Theorien für Epidemieverläufe von Handy-Viren, die auf den Daten biologischer Epidemien gewöhnlicher Viren beruhen, sowie auf einigen Modellen mathematischer Epidemiologien. So lässt sich berechnen, dass ein mobiler Wurm bei einer durchschnittlichen Gerätedichte im schlimmsten Fall nur 15 Tage braucht, um nahezu alle angreifbaren Smartphone in Moskau zu befallen. In der Realität wird es natürlich wesentlich länger dauern, allerdings ist das Risiko des Entstehens lokaler Epidemien ausgesprochen hoch.

So eine lokale Epidemie gab es z.B. im vergangenen Jahr in einem Stadion in Helsinki, wo zu der Zeit gerade die Leichathletik-Weltmeisterschaft ausgetragen wurde (laut Angaben von F-Secure).

Gerät-Typen

Schauen wir uns an, welche Geräte über ein BlueTooth-Modul verfügen:

Den Löwenanteil machen hier mit rund 70% erwartungsgemäß die klassichen Handys aus. Es sind Telefone ohne vollwertige Betriebssysteme, und sie unterliegen der Gefahr einer Infektion durch Handy-Viren nur rein theoretisch (durch Schadprogamme für Java for Mobile). Dennoch sind all diese Geräte angreifbar, aufgrund der Probleme mit BT, die wir oben beschrieben haben. Während der Moskauer Tests wurde festgestellt, dass etwa 25% der Geräte nicht gegen BlueSnarf-Attacken geschützt waren.

„BlueSnarf“: Die wahrscheinlich bekannteste Bluetooth-Attacke ist BlueSnarf. Der Angreifer nutzt hierbei das OBEX Push Profile (OPP), das dem Austausch digitaler Visitenkarten und anderer Objekte dient. In den meisten Fällen fordert dieser Dienst keine Authentifizierung. Bei BlueSnarf wird eine OBEX-GET-Anfrage nach bekannten Dateinamen durchgeführt, etwa telecom/pb.vcf (Adressbuch) oder telecom/cal.vcs (Kalender). Ist die Firmware nicht aktualisiert, kann der Angreifer Zugang zu allen Dateien erhalten.

Wir haben auf der InfoSecurity derartige Daten nicht gesammelt, da im englischen Rechtsystem diese Art Scan auf Schwachstellen möglicherweise als illegal gewertet werden könnte. Aus diesem Grund beschränkten wir uns nur auf die Daten, die man über absolut legale Art und Weise bekommen kann. Auf der Grundlage dieser Daten zogen wir unsere Schlussfolgerungen.
Den zweiten Platz bei den Geräte-Typen nehmen mit 25% die Smartphone-Geräte ein. Die Popularität solcher Telefone die unter den Betriebssystemen Windows Mobile oder Symbian laufen, nimmt dabei weiter zu. Beim derzeitigen Tempo ist davon auszugehen, dass Smartphones und „einfache“ Handys im kommenden Jahr etwas gleichauf liegen. Gerade Symbian-Smartphones sind die Hauptzielscheibe der mobilen Viren. Mit der steigenden Popularität von Windows Mobile (in vielen Ländern ist es schon populärer als Symbian) wird auch hier eine größere Menge an Malware anrollen.

Den dritten Platz belegen die Notebooks mit BT-Adaptern. Obwohl ihre Zahl nicht sehr groß ist (etwas über 3%), ist das Risiko einer Hacker-Attacke auf sie unserer Ansicht nach höher, als bei gewöhnlichen Handys und Smartphones. Denn die auf dem Notebook gespeicherten Daten sind um ein vielfaches umangreicher, und damit für einen Angreifer entsprechend verlockender als ein paar Adressbücher und Kalendereinträge vom Telefon.

Ansonsten sollte noch der ziemlich geringe Anteil Pocket PCs erwähnt werden (Palm sized PC-PDA und Handheld PC-PDA) – in der Summe nicht einmal 2%. Dies ist eine recht unerwartete Kennziffer, die darauf hinweist, dass die überwiegende Zahl der Anwender dieser Geräte etwas besser über die Probleme mit BT informiert sind, und die erforderlichen Vorsichtsmaßnahmen berücksichtigen.

Insgesamt wurden über 2000 BT-Module 12 verschiedener Gerätetypen erfasst. Zu letzteren zählen auch „Uncategorised“ und „Miscellaneous“, die jedoch nur einen Anteil von 1% in der Gesamtstatistik haben.

Gerätehersteller

Die nächste Statistik erlaubt es uns, Schlussfolgerungen über viele Parameter des Marktes und die Marktstruktur zu ziehen. So kann man zum Beispiel auf der Grundlage der Information über den Hersteller des Gerätes das Betriebssystem feststellen (betrifft Smartphone und PocketPC), oder Marketing-Daten über den Bekanntheitsgrad des Herstellers erhalten.

Insgesamt wurden Geräte von 35 Herstellern erfasst, wovon sechs alleine schon 67% der Gesamtmenge ausmachten.
In einer erheblichen Zahl der Fälle – bei ungefähr 25% – konnte kein Hersteller ausgemacht werden.

Hier wird deutlich, dass die Nokia den größten Anteil in unserer Statistik hat. Platz 2 belegen Telefone von Sony Ericsson. Den 6. Platz hält USI inne – möglich wurde dies durch die Verbreitung in Computern und Notebooks.

Da wir nun schon einmal darüber sprechen, mit welchen Geräten die einzelnen Hersteller auf dem Markt vertreten sind, ist es nützlich, einen Blick auf die verwendeten Technologien je Marke zu werfen:

Nokia
Phone/Smart phone 26,7%
Phone/Mobile 73,3%
Sony Ericsson
Phone/Smart phone 10,9%
Phone/Mobile 88,9%
Miscellaneous 0,2%
Murata
Phone/Mobile 99,4%
Computer/Desktop 0,6%
Samsung
Phone/Mobile 65,7%
Phone/Cordless 34,3%
Texas Instruments
Phone/Mobile 62,2%
Computer/Handheld PC-PDA 26,8%
Phone/Smart phone 9,8%
Computer/Palm sized PC-PDA 1,2%
USI
Computer/Laptop 81,6%
Computer/Desktop 18,4%
Unbekannte Hersteller
Phone/Mobile 50,8%
Phone/Smart phone 41,9%
Computer/Laptop 4,9%
Phone/Cordless 2,1%
Computer/Desktop 0,2%
Audio-Video/Hands free 0,2%

Zugängliche Dienste

Wenn ein Gerät eine BT-Verbindung mit einem anderen Gerät herstellt, bietet es eine bestimmte Auswahl an Diensten zur Verwendung durch das verbundene Gerät. Diese Dienste sind für Hacker-Attacken und Viren die Grundlage für ihre weiteren Aktionen. Nehmen wir an, Sie haben eine Verbindung mit dem Gerät eines guten Bekannten aufgebaut, um ein paar Daten auszutauschen. Ihr Telefon gibt ihm zur gleichen Zeit die Möglichkeit, von Ihrem Gerät aus zu telefonieren, SMS zu verschicken, Ihr Telefonbuch anzuschauen usw. Anstelle Ihres Bekannten kann es aber auch ein Hacker sein – und er hat dafür mehrere Wege: Social Engineering oder Sicherheitslücken im BT-Protokoll.

Die von uns gesammelten Daten über zugängliche Dienste machen deutlich, was für den Angreifer alles zugänglich ist.
Zuerst sehen wir uns die Summen der einzelnen Dienste an. Auf über 2000 Geräten entdeckten wir etwa 6000 Dienste, die folgendermaßen verteilt waren:

Geht man von dem Verhältnis 6000 zu 2000 aus, wird klar, dass im Durchschnitt auf jedes Gerät drei nutzbare Dienste kommen. Aber wir fanden auch Geräte mit zugänglichen 5-6 Diensten.

Folgende drei Dienste fanden wir am häufigsten:

  • Object Transfer (Empfang und Übertragung von Dateien); wurde in über 90% der Geräte verwendet
  • Telephony (Durchführung von Anrufen, Versenden von Nachrichten); wurde in über 90% der Geräte verwendet
  • Networking (ermöglicht den Zugang ins Internet und die Verwendung eingebauter Modems); wurde in über 65% der Geräte verwendet

    Da uns in erster Linie Telefone und Smartphones, als die am meisten verbreiteten Typen BT-Geräte interessieren, schauen wir uns die Statistik für die Dienste im Einzelnen an.

    Smartphone

    Für Smartphones beträgt das Verhältnis „Gerät – Anzahl der Dienste“ etwa 1 zu 2.

    Hier sehen wir eine wesentliche Abweichung von der Gesamtstatistik. Auch wenn OBEX der bekannteste Dienst ist, landet er beim Smartphone nur auf Platz 2 mit weniger als 90%. Spitzenreiter ist gewöhnliche „Telephony“ – mit fast 99%. Den 3. Platz belegt, zu unserer Verwunderung, nicht Networking, sondern Audio. Das heißt also, dass Smartphone sehr viel aktiver für die Arbeit mit schnurlosen Audio-Geräten verwendet wird, als zum Aufbau einer Internetverbindung.

    Doch wir wissen, dass gerade Smartphones Hauptziel der mobilen Viren sind, und für ihre Verbreitung ist insbesondere der Dienst Object Transfer notwendig.
    Von der Gesamtzahl der aufgefundenen Smartphones waren über 30% von Nokia. Das bedeutet wiederum, dass diese Telefone auf dem Betriebssystem Symbian laufen, welches derzeit die wichtigste Plattform für die mobilen Viren ist, wie zum Beispiel für die Würmer Cabir und ComWar.

    Klassische Handys

    Bei den einfachen Handys beträgt das Verhältnis „Gerät – Anzahl angebotener Dienste“ etwa 1: 3. Dies ist ein unerwartetes Verhältnis, da die Funktionalität der Smartphones viel höher ist, als die gewöhnlicher Mobiltelefone. Der Grund dafür ist vermutlich, dass Smartphones im Allgemeinen einfach sicherheitsbewusster konfiguriert werden.

    Hier gibt es unter den ersten drei Diensten nur unwesentliche Abweichungen von der Gesamtstatistik (man hätte auch schwer etwas anderes erwarten können, da die Handys fast 70% aller entdeckten Geräte ausmachten).

    So ist bei OBEX/ Telephony die Situation genau umgedreht wie bei den Smartphones. Der Datentransfer steht hier in 97% aller Fälle zur Verfügung (entgegen 80% auf Smartphones). Der Dienst Networking ist ebenfalls wesentlich weiter verbreitet und erreicht beinahe 90%.

    Das Ergebnis sieht also folgendermaßen aus: Im Hinblick auf den Dienst „Telephony“ sind Handys und Smartphones gleichermassen gefährdet. Sicherheitslücken und Virenattacken, die auf dem Empfang und der Übertragung von Dateien basieren sind für gewöhnliche Handys gefährlicher als für Smartphones. Der Dienst Networking, der bei einer Reihe weiterer Attacken genutzt wird, ist auf Handys genauso weit verbreitet wie auf Smartphones.

    Was unsere Versuche anbetrifft, mobile Viren zu fangen, so gelang es uns nicht, auch nur eine einzige infizierte Datei zu empfangen. Wir haben keinen einzigen Versuch der Übertragung infizierter Dateien festgestellt. Zur gleichen Zeit erhielten wir in gewissen Zeitintervallen Anfragen auf die Annahme von Dateien von verschiedenen Geräten, vor allem während der Tests im Londoner Stadtgebiet. Jedoch waren auch das alles gewöhnliche Dateien – in London wie auch in Moskau, ist anscheinend die Begeisterung für „bluejacking“ gleichermaßen verbreitet, wo die Menschen einfach nur Dateien – wie Musik, Bilder, Spiele usw. – untereinander austauschen. Oder aber diese Dateien sind nur unbeabsichtigt bei uns gelandet. Im Prinzip stellt ein solcher „chaotischer“ Datei-Austausch eine gemeinsame Gefahr dar – sowohl für den Absender als auch für den Empfänger. Der Absender kann eine wichtige Datei an eine verkehrte Adresse schicken, und der Empfänger kann sich daran gewöhnen, dass er immerzu etwas unterhaltsames empfängt, bis er schließlich einen Wurm oder Trojaner auf sein Gerät lässt und gutgläubig ausführt.

    Schlussfolgerung

    Es ist weiterhin erforderlich, Anwender über die Gefahren aufzuklären, die durch die Nutzung von Bluetooth entstehen. Die Hersteller der Handys und Smartphones sollten den Sicherheits-Problemen mehr Aufmerksamkeit schenken – das betrifft die Implementierung von BT als auch die Dienste, die über BT verwendet werden können.

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.