Dutch IT Chanel Logo mobile
Search icon
Redactie - 14 december 2021

Miljarden computers en smartphones kwetsbaar voor aanvallen via wifi en Bluetooth

Security Mobility Wireless Netwerken
Miljarden computers en smartphones kwetsbaar voor aanvallen via wifi en Bluetooth image

Een nagenoeg onmogelijk te patchen reeks kwetsbaarheden maken het mogelijk om via gedeelde componenten voor Bluetooth en wifi wachtwoorden te stelen en data in te kijken. Onder meer iPhones en de Samsung Galaxy reeks zijn kwetsbaar.

De vaststellingen komen uit een onderzoekspaper van de Universiteiten van Darmstadt (Duitsland), Brescia (Italië), het CNIT (Frankrijk) en het Secure Mobile Networking Lab (Duitsland). In het kort komt het er op neer dat Bluetooth op een toestel kan worden aangevallen en dat er zo ook toegang tot de wifi-chip mogelijk is via onderliggende gedeelde componenten.

In totaal stellen de onderzoekers negen kwetsbaarheden vast met betrekking tot de twee netwerktechnologieën. Door aanvallen te combineren en code uit te voeren op de chip, is het mogelijk om netwerkverkeer te manipuleren of om wachtwoorden te stelen. Het gaat weliswaar om een zeldzame aanvalsmethode die niet op grote afstand kan worden uitgevoerd, maar in principe wel als een toestel lokaal verbinding maakt met toestellen van hackers.

Populaire smartphones en computers

Het gaat om kwetsbaarheden in chips van Broadcom, Cypress en Silicon Labs, maar die zitten op hun beurt in miljarden toestellen. Het gaat onder meer om heel wat smartphones. Onder de toestellen die de onderzoekers hebben getest zitten onder meer de iPhone 6, 7, 8, XR, 11 en SE en de Samsung Galaxy S10 en S20, maar ook computers als de Raspberry Pi 3; 3B+ en 4 of de Macbook Pro uit 2016 en 2019 en de Macbook Air uit 2019-2020.

  • CVE-2020-10368: WiFi unencrypted data leak (architectural)
  • CVE-2020-10367: Wi-Fi code execution (architectural)
  • CVE- 2019-15063: Wi-Fi denial of service (protocol)
  • CVE-2020-10370: Bluetooth denial of service (protocol)
  • CVE-2020-10369: Bluetooth data leak (protocol)
  • CVE-2020-29531: WiFi denial of service (protocol)
  • CVE-2020-29533: WiFi data leak (protocol)
  • CVE-2020-29532: Bluetooth denial of service (protocol)
  • CVE-2020-29530: Bluetooth data leak (protocol)

Niet of moeilijk te patchen

Wat het probleem extra complex maakt is dat een aantal kwetsbaarheden niet kunnen opgelost worden met nieuwe firmware. Patchen is vrijwel onmogelijk en als het al kan dan zou het leiden tot stevige prestatieproblemen.

Bleeping Computer merkt op dat dergelijke kwetsbaarheden twee jaar geleden al eens werden ontdekt, waarbij shared resources worden misbruikt om van de ene technologie naar de andere te gaan. Maar dat onder meer bij Broadcom ze nog altijd aanwezig zijn. Al nuanceert de site dat dit vooral te maken heeft met het moeilijk kunnen patchen.

Als algemeen advies wordt aangeraden om onnodige Bluetooth-koppelingen te verwijderen, net zoals wifi-netwerken die je niet meer gebruikt. Daarnaast hoor je de voorkeur te geven aan je eigen 4G-verbinding boven een openbaar wifi-netwerk.

In samenwerking met Data News

Dutch IT events

Event icon

Event

Future of Business Technology - 23 april 2024

Event icon

Event

Dutch IT Channel Awards Gala | 14 maart 2024

Alle events

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!