Im Rahmen einer Forschung hat die SySS GmbH drei Tastaturen mit Bluetooth auf ihre Sicherheit geprüft. Einmal die 1byone Tastatur, die Logitech K480 und die Microsoft Designer Bluetooth Desktop, Modell 1678, 2017. Eine interessante Studie, die sicherlich auch auf andere Tastaturen anwendbar ist. Denn man gibt auch gleichzeitig Empfehlungen, die man beachten sollte.
Das Fazit vorneweg: Moderne Bluetooth-Tastaturen sind sicher, solange man keinen physischen Zugang zu einer Tastatur erlaubt. Ansonsten kann das kryptographische Schlüsselmaterial (Link Key oder Long Term Key)entwendet werden. Einen Angriff von Außerhalb konnte im Test nicht erreicht werden. Wichtig ist außerdem, dass das Bluetooth immer auf dem aktuellen Stand sein muss.
Trotzdem fand man natürlich Möglichkeiten und auch Empfehlungen, die angewendet werden sollten. So zum Beispiel bei der 1byone Tastatur, die keine Authentifizierung per Standard benötigt. Dies sollte man unbedingt machen. Aber auch weitere Empfehlungen wurden gegeben. Unter anderem:
- Lassen Sie die Bluetooth-Peripheriegeräte nicht unbeaufsichtigt, da Angreifer die kryptographischen Schlüssel aus den
Hardware-Geräte auslesen könnten. - Lassen Sie keine unbenutzten Bluetooth-Geräte in der Liste der gekoppelten Geräte, da dies die Angriffsfläche vergrößert (das ist in etwa äquivalent zu einem offenen und unbenutzten TCP-Port).
- Führen Sie häufig und regelmäßig Geräte-Updates durch. Der Bluetooth-Stack ist komplex und Updates können ernsthafte Sicherheitslücken schließen.
- Stellen Sie sicher, dass das verwendete Bluetooth-Gerät tatsächlich verschlüsselt ist. Viele (intelligente) Geräte sind esnicht.
- Wenn Sie Bluetooth Low Energy (auch bekannt als Bluetooth Smart) vor Version 4.2 verwenden, vergewissern Sie sich, dass das Gerät in einer sicheren Umgebung ist. Andernfalls kann ein Angreifer den kryptographischen Schlüssel “abhören”.
- Verwenden Sie keine Bluetooth-Geräte vor Version 2.1. Es gibt mehrere bekannte Schwachstellen.
Wer sich das umfangreiche Dokument einmal genauer anschauen möchte, findet die PDF unter exploit-db.com/security-of-modern-bluetooth-keyboards.pdf
via: @Dinosn
Löse nichts mit Funk, was Du nicht mit Funk lösen musst!
Tja, da hat der Jan nicht ganz Unrecht, die meisten meiner Tastaturen und Mäuse sind per Kabel angeschlossen, alle Rechner per LAN.
Aber ganz kann/will jeder auf WLAN und Funk/BT-Mäuse eben manchmal nicht verzichten: z.B. bei Tablet, Kindle oder beim iMac (wo die meisten wohl ´ne BT-Tastatur verwenden).
Wie wärs mit meinem HTCP o.ä., etwa einer Box, die Kodi verwenden soll – Air Mouse – laufen alle auf BT. Da hat man auf ein paar der Punkt entweder keinen Einfluss, oder wünscht es nicht, Verbindungen manuell einzurichten.