Vrijwel iedereen gebruikt bluetooth om apparaten met elkaar te koppelen. Om die reden staat bluetooth meestal continu ingeschakeld. Maar lopen we daar niet een risico mee?

BlueBorne

Hoewel het niet zo vaak opvallend in het nieuws voor het grote publiek terecht komt, worden er ook binnen bluetooth met enige regelmaat zwakheden ontdekt. Vorig jaar werd bijvoorbeeld nog het zogenaamde BlueBorne lek bekend gemaakt waardoor een hacker niet meer hoefde te koppelen met een apparaat voordat hij ongemerkt en zonder verdere blokkade malware zou kunnen installeren. Vooral Android apparaten zouden hier kwetsbaar voor zijn geweest, maar de wat oudere IOS apparaten liepen ook gevaar.

Google

Vrij snel na de bekendmaking ontwikkelde Google een beveiligingspatch voor Android waarmee dit lek gedicht kon worden. Deze patch werd automatisch verspreid, maar omdat een deel van de Android gebruikers die updates uitgeschakeld heeft staan of niet kregen, bleven ze nog een lange tijd risico lopen. Niet alle toestellen werden voorzien van updates omdat de leveranciers van die toestellen dat niet altijd verzorgden. Omdat niet alle fabrikanten van Android toestellen updates leverden, verplichtte Google hen onlangs om voortaan minimaal 2 jaar deze apparaten van beveiligingsupdates voorzien. Een en ander gedreven door de eisen die de Europese Unie Google oplegde.

Wanneer Bluetooth ingeschakeld staat, zoekt het voortdurend naar apparaten om verbinding mee te kunnen maken. In feite nodigt het hiermee uit tot koppelen. Zodra een verbinding is gelegd kunnen gegevens vanuit dat apparaat opgevraagd worden. Op die manier kunnen persoonlijke instellingen worden uitgelezen maar ook kwetsbare data worden verkregen.

Bluesnarfing

Met de term bluesnarfing wordt een dergelijk misbruik van bluetooth aangeduid. Niet ieder apparaat geeft evenveel informatie over bluetooth door, maar met sommige smartphones is wel heel veel mogelijk. Op dergelijke apparaten kan bijvoorbeeld de agenda, email en contactgegevens worden uitgelezen of kan men zelfs op de memory card terecht komen waarop foto’s en andere data ligt opgeslagen. Ook kan men bijvoorbeeld telefoongesprekken afluisteren indien een koptelefoon middels bluetooth gekoppeld is aan de smartphone.

Natuurlijk is het zo dat bluetooth een beperkte radius kent. Vaak reikt het niet verder dan vijftien meter en zal de hacker zich daarom relatief dicht bij het slachtoffer moeten bevinden. Dat was de reden waarom een aantal fabrikanten in het verleden aangaven dat het risico niet zo groot zou zijn. Bluetooth moest immers aan staan en de hacker moest zich in de nabijheid van het apparaat bevinden.

Gebleken is echter dat er steeds meer tools op het internet verspreid worden waarmee bluesnarfing eenvoudig kan worden toegepast. Een hack is hiermee op eenvoudige wijze in minder dan tien seconden uit te voeren. Als het weinig gedaan zou worden, dan zou er waarschijnlijk ook niet een dergelijke groei aan tools te bespeuren zijn, denken wij.

Bescherming

“De beste manier om niet bestolen te worden, is niets te hebben,” zei een wijze Indiase meester ooit. “De beste manier om niet geslagen te worden, is om er niet te zijn,” zei een slimme samoerai eens. Voor bluetooth geldt ongeveer hetzelfde: de beste manier om zich te beschermen tegen dit soort aanvallen is om bluetooth gewoon uit te schakelen zodra het niet meer nodig is om het aan te hebben staan.