Hallo zusammen,
mein P1 hat zwar keine Bluetooth-Einrichtung, aber nach Lesen folgenden Berichtes hat vielleicht so mancher P2-Besitzer seine Bedenken...
-----------------------------------
Car Whisperer - Bluetooth-Freisprechanlagen belauschen (Upd)
... und mit Audio füttern
Mit Blooover hatte das Bluetooth-Sicherheitsrisiken aufzeigende trifinite-Team bereits gezeigt, wie sich ein Bluetooth-Handy leicht dazu nutzen kann, um seine Artgenossen auszuspionieren. Dass es auch um die Sicherheit von Bluetooth-Headsets bzw. fest eingebaute Bluetooth-Freisprechanlagen nicht sonderlich gut bestellt ist, zeigen trifinites Versuche mit einem Linux-Notebook, einer Richtantenne und einer eigenen Software namens "Car Whisperer".
Belauscht und mit Audio beschickt werden können damit vor allem die oft in Autos genutzten Bluetooth-Freisprecheinrichtungen, die gerade nicht mit einem Handy verbunden sind. Möglich werde dies, so Martin Herfurt im trifinite-Blog, da die Hersteller oft nur einen nicht veränderbaren Standard-Schlüssel als Authentifizierung nutzen. In vielen Fällen sind dies die Nummern "0000" oder "1234".
Da das Notebook des Angreifers voll autorisiert ist, sobald es den richtigen Verbindungs-Schlüssel sendet, kann es alle Dienste der jeweiligen Freisprecheinrichtung nutzen. Das reicht vom einfachen Belauschen per Mikro über die Beschallung per Lautsprecher und direkte Konversation mit dem Opfer bis hin zum Auslesen der in einigen Freisprecheinrichtungen zwecks Darstellung auf einem eigenen Display gespeicherten Telefonbuchdaten.
"Ich bin mir ziemlich sicher, dass es mehr Sicherheitsprobleme mit diesen Systemen gibt, da sie Standard-Passwörter nutzen", so Herfurt, der das Car-Whisperer-Projekt auf der niederländischen Konferenz "What The Hack" vorstellte. Die Linux-Software findet sich zum Download auf der Website trifinite.org, dort finden sich auch Bilder vom erfolgreichen ersten Experiment mit dem Linux-Notebook inkl. Bluetooth-Adapter plus Richtantenne in Bayern.
Um sich vor "Autoflüsterern" zu schützen, bleibt Handy-Nutzern nur die Möglichkeit, sich Geräte zuzulegen, die für jedes sich anmeldende Gerät andere, zufällige Schlüssel nutzen. Nicht alle Bluetooth-Freisprecheinrichtungen sind laut trifinite unsicher. Allerdings fordern die Experten Hersteller auf, sich mehr um Sicherheit zu bemühen und etwa eine direkte Interaktion zwischen den sich verbindenden Geräten verlangen. Außerdem könnten Freisprechanlagen bei langer Inaktivität aufhören, ihre Identifikationsnummer offen zu funken und damit für Angreifer unsichtbar bleiben.
Nachtrag vom 3. August 2005, 13:30 Uhr:
Herfurt erklärte gegenüber Golem.de, dass der Car Whisperer keine Headsets oder im Auto montierte Freisprechanlagen belauschen kann, die zur Kommunikation mit dem Handy per Knopfdruck erst mit diesem bekannt gemacht werden müssen. Gerade bei den montierten Geräten gebe es diese zur Sicherheit dienende Initial-Kopplung nicht, viele Geräte seien immer sichtbar, bis sich ein Telefon verbunden habe, bemängelt Herfurt.
-----------------------------------
Quelle:
www.golem.de/0508/39628.html
Wie ist das geregelt beim P2 ? Abhörsicher? Kann sich niemand anders als der Besitzer einloggen, wenn er selbst mal nicht am System hängt?
<br><br>Posting geändert von: wernerundbritta, am: 12/01/2006 18:16
