Duizenden bluetoothapparaten hebben kwetsbaarheden

Dertien verschillende bluetoothapparaten met bluetoothchips werden onderzocht. Deze apparaten kwamen van verschillende fabrikanten, waaronder Intel en Qualcomm. Het laagste bluetoothversienummer was 3.0, de hoogste 5.2. Door de onderzoekers werden hierbij zeker zestien nieuwe en twintig al bekende kwetsbaarheden ontdekt. Sommige apparaten functioneerden overigens niet volgens de richtlijnen en specificaties van de bluetoothstandaard.

De onderzoekers konden via de kwetsbaarheden een bepaalde code uitvoeren, een 'arbitrary code execution' op smart home-apparaten die op de getroffen chips draaiden. Daarnaast was het mogelijk om een bepaalde aanval, namelijk een 'denial of sercie' uit te voeren op laptops en smartphones en om bluetoothaudioapparaten te bevriezen. De onderzoekers stellen dat minstens 1400 producten deze kwetsbaarheden bevatten.

"De kwetsbaarheden zijn er omdat er bepaalde specificaties van de standaard, en de bijbehorende protocollen, niet nageleefd worden", stellen de onderzoekers. De onderzoekers zeggen dat je moet letten op het gebruik van bluetooth in openbare ruimtes om jezelf te beschermen. "De kwetsbaarheden situeren zich in het Bluetooth Classic-protocol. Een potentiële hacker zou zich dus binnen het bereik van de bluetoothantenne moeten bevinden om aanvallen uit te voeren. Het is aangeraden om je bewust te zijn van je omgeving bij het gebruik van bluetooth", stellen de onderzoekers. Daarnaast raden de onderzoekers je het aan om de lijst met getroffen chips te raadplegen en de patches te installeren zodra die beschikbaar zijn.

Zijn deze patches niet beschikbaar of worden ze niet beschikbaar gesteld door de fabrikant? Dan raadt men het aan om bluetooth op deze apparaten zo weinig mogelijk te gebruiken. Je kunt een 'proof of concept' lezen, die op 20 oktober wordt gepubliceerd, om er helemaal zeker van te zijn of er kwetsbaarheden aanwezig zijn op een apparaat. In de publicatie worden volgens de onderzoekers meer details vrijgegeven.

De zestien kwetsbaarheden werden gemeld aan de fabrikanten van de chips, waaronder Intel, Qualcomm, Texas Instruments, Infineon, Espressif, Bluetrum Technology en Silicon Labs. Drie van de fabrikanten, namelijk Bluetrum Technology, Espressif en Infineon, hebben naar verluidt al patches uitgebracht. Enkele andere fabrikanten, namelijk Intel, Qualcomm, Actions en Zhuhai Jieli Technology, zouden enkele kwetsbaarheden aan het onderzoeken zijn. Volgens de onderzoekers hebben de fabrikanten Harman International en SiLabs op het moment van hun publicatie nog niet gereageerd.