Kritische Sicherheitslücke in Funkschnittstelle Bluetooth von Apple bereits im Frühjahr geschlossen

25. Juli 2018 13:30 Uhr - Redaktion

In dieser Woche sind Einzelheiten zu einer schwerwiegenden Schwachstelle in der Funkschnittstelle Bluetooth bekannt geworden. Sie ermöglicht Angreifern unter bestimmten Voraussetzungen das Mitlesen des Datenverkehrs im Klartext. Die gute Nachricht für Nutzer von Macs und iOS-Geräten: Apple hat die Sicherheitslücke bereits im Frühjahr geschlossen.

Die Ende Mai bzw. Anfang Juni veröffentlichten Betriebssystemupdates macOS 10.13.5, iOS 11.4, tvOS 11.4 und watchOS 4.3.1 enthalten Maßnahmen gegen die Schwachstelle (Kennung: CVE-2018-5383), so dass diese nicht mehr ausgenutzt werden kann. Die neue MacBook-Pro-Generation wurde im Rahmen von macOS 10.13.6 gegen die Bluetooth-Lücke abgesichert.

 
Bluetooth
 
Funkschnittstelle Bluetooth: Elementarer Bestandteil von Apple-Hardware.
Bild: Bluetooth SIG.

 

Die Schwachstelle kann nur dann ausgenutzt werden, wenn sich Angreifer in den Kopplungsvorgang zweier Geräte (das Pairing) einklinken. Anschließend ist das Abgreifen des Datenverkehrs möglich. Außerhalb des Pairings gibt es keine Angriffsfläche. Zudem müssen beide Geräte anfällig für die Lücke sein – wurde eine Seite bereits mit dem Sicherheitsupdate versorgt, funktioniert der Angriff nicht mehr.

Noch unklar ist, ob Apple auch die ältere Betriebssysteme OS X El Capitan und macOS Sierra entsprechend absichern wird. Bislang ist nur macOS High Sierra gegen die Bluetooth-Schwachstelle geschützt. Bei OS X El Capitan könnte es allerdings eng werden – spätestens mit der Markteinführung von macOS Mojave im September fällt das im Jahr 2015 eingeführte System aus dem Support.

Unterdessen hat das Industriekonsortium Bluetooth SIG die Spezifikationen der Funkschnittstelle angepasst, um ähnlichen Fällen in Zukunft vorzubeugen. Der Bluetooth SIG gehört auch Apple an.