Groot Bluetooth-lek ontdekt, inmiddels gefixt door Apple
· Laatst bijgewerkt:
Groot Bluetooth-lek gefixt door Apple
De Bluetooth SIG is de officiële organisatie die de Bluetooth-specificaties vaststelt. Het lek dat nu is ontdekt maakt het eenvoudig voor een aanvaller om met een brute kracht-aanval een koppeling te maken met je toestel. Bluetooth werkt zodanig dat je op beide apparaten toestemming moet geven dat je verbinding wilt maken. Het ene apparaat stuurt een verzoek en op het andere apparaat moet je het koppelingsverzoek accepteren. Meestal gaat het om twee apparaten die beide eigendom van jezelf zijn. Maar bij deze aanval kan een vreemde ook een koppeling maken met jouw apparaten. Hierbij wordt gebruik gemaakt van encryptiesleutels.
Beveiligingssleutel van één karakter
De kwetsbaarheid houdt in dat een aanvaller kan rommelen met het encryptie-proces en daarbij een veel kortere encryptiesleutel kan forceren. Deze kan zelfs één karakter lang zijn. Op die manier is het heel gemakkelijk om alle mogelijkheden langs te lopen met een brute force-aanval.
Het probleem is vervolgens dat niet alle Bluetooth-specificaties een minimale lengte van de encryptiesleutel vereisen. In dat geval kan slechts één karakter zijn toegestaan, waardoor de geheime sleutel wel heel gemakkelijk te raden is. Maar zelfs in gevallen waarbij een minimale lengte was vereist, was het mogelijk om dit te omzeilen door een kortere lengte in te stellen.
Apple heeft het Bluetooth-lek al opgelost
Bedrijven die Bluetooth-apparatuur maken moeten nu updates uitvoeren om te zorgen dat de encryptiesleutels minimaal 7 karakters lang zijn. De Bluetooth-specificaties zijn hier nu ook op aangepast. Ben je Apple-gebruiker, dan hoef je in ieder geval niets te vrezen, want voordat het lek openbaar is gemaakt is het al gefixt in nieuwste updates voor alle apparaten. Je moet daarvoor uiteraard wel zorgen dat je de nieuwste versie van iOS, macOS en dergelijke geïnstalleerd hebt.
De volgende versies bevatten de fix: iOS 12.4, watchOS 5.3, tvOS 12.4 en macOS Mojave 10.14.6. Deze verschenen op 22 juli. Ook verschenen er beveiligingsupdates voor oudere Macs, namelijk macOS High Sierra 10.13.6 en macOS Sierra 10.12.6. In de lijst met Apple’s beveiligingsupdates lees je meer informatie.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Waarom de Europese verpakking van iPhones en iPads straks iets extra's krijgt (24-04)
- Apple krijgt 500 miljoen euro boete voor het niet naleven Digital Markets Act, maar gaat in beroep (23-04)
- Deze transparante AirPods kun je niet kopen (11-04)
- Opinie: Aankomende WWDC-keynote wordt belangrijkste Apple-presentatie in jaren (en dit is waarom) (13-03)
- Het einde van de vijftig tinten spacegrijs: overzicht van een van Apple's meestgebruikte kleur (06-03)
Bij dit soort dingen vraag ik mij ook af wel wordt het voor oudere toestellen ook nog opgelost.
En specifiek voor dit, wat als je Bluetooth uit hebt staan, ik heb t bijna altijd uut staan
Ik ben inderdaad benieuwd in welke iOS versie dit opgelost is. In eerdere berichtgeving werd aangeraden om BT uit te zetten als je het niet gebruikt. Bij elke inschakeling wordt namelijk een nieuwe sleutel gegenereerd. Tevens is dan ook het risico op een hack kleiner door de korte tijd van inschakeling en het feit dat het gebruik meestal op een vertrouwde niet openbare plaats is. Helaas hebben de meeste mensen BT altijd ingeschakeld ivm met dageljks gebruik van oortjes, speakerboxen en carkits.
Kennelijk versie 12.4. Bug is in de achtergrond gefixed en daarna pas publiekelijk naar buiten gebracht. Was wel ff handig om mee te nemen in het artikel.
Ik meen dat er nog een security fix update komt voor oude ios devices in september.
Ik snap niet helemaal hoe dit dan werkt. Kan de hacker dan zonder dat ik het merk inbreken als je BT aan hebt staan?