Die acht unter dem Namen BlueBorne zusammengefassten Lücken im Bluetooth-Protokoll können Schaden über die gesamte Palette an Geräten anrichten, die per Bluetooth angebunden sind. Das gilt neben Windows, Android- und iOS-Geräten sowie dem Internet der Dinge auch für Computer und Server unter Linux. Dabei benötigt BlueBorne lediglich eine Bluetooth-Verbindung, um ein Gerät zu übernehmen.

Automatische Ansteckung

Kommt dieses Gerät dann in die Nähe von weiteren Geräten mit aktiviertem Bluetooth, kann die Ansteckung sich völlig ohne menschliches Zutun auf Computer, Server und Mobilgeräte verteilen. Yevgeny Dibrov, CEO des Sichberheitsunternehmens Armis, das die Lücken entdeckte, erklärt, dass Unternehmen diese Art der Ansteckung von Gerät zu Gerät in der Regel nicht überwachen und erkennen und von daher nicht verhindern oder stoppen können.

Auch Linux ist eingeschränkt gefährdet

Auf Linux-Rechnern und – eingeschränkt auch auf Servern – ist der Bluetooth-Stack Bluez durch die Lücken gefährdet. Das gilt für die Kernel 3.3-rc1 bis zum recht aktuellen 4.13.1. Die Kernel-Implementation des Bluetooth Protokolls L2CAP bildet dabei das Einfallstor für die Attacken. Auf fast allen Architekturen, die der Kernel bereitstellt, ist dort zwar die Option CONFIG_CC_STACKPROTECTOR=y gesetzt, trotzdem kann ein System mit Bluetooth-Verbindung  damit zum Absturz gebracht werden.

Red Hat berichtet im Sicherheitsbulletin  CVE-2017-1000251 dass eine Ausführung von Code in diesen Fällen eher unwahrscheinlich, aber nicht ganz auszuschließen sei. Anders sieht es für die PPC64-Plattform aus. Hier ist die Stack-Protection standardmäßig nicht aktiviert. Bei Mitre geht man davon aus, dass dabei auch von außen eingeführter Code im Kernel-Space ausgeführt werden kann. 

Das Logical Link Control and Adaptation Layer Protocol (L2CAP) arbeitet im Bluetooth-Stack auf der Data-Linking-Ebene und sorgt unter anderem für Dienste wie Connection-Multiplexing für mehrere Geräte über eine Antenne. Server unter Linux sind weniger gefährdet, da sie selten einen Bluetooth-Stack installiert haben. Wenn doch, gelten hier die gleichen Bedingungen. Ansonsten gilt, bis die Lücken beseitigt sind: Bluetooth ausschalten. Das gilt besonders etwa in Umgebungen wie Großraumbüros, wo sonst im Vorbeigehen viele Geräte attackiert werden können.