Sikkerhedsadvarsel om Bluetooth i Danmark: Trådløst udstyr kan være mere sårbart end forventet

Bluetooth er blevet en fast del af hverdagen og forbinder alt fra høretelefoner til biler og medicinsk udstyr.

Netop udbredelsen gør teknologien central for moderne kommunikation.

Samtidig betyder den tætte integration, at svagheder kan få vidtrækkende konsekvenser.

Nu rejser en ny advarsel spørgsmål om, hvor sikkert det egentlig er at bruge trådløst lydudstyr i følsomme sammenhænge.

Det norske medie, IT avisen skriver dette

En bred advarsel

Forsvarets Efterretningstjeneste advarer mod brug af Bluetooth-lydudstyr i tjenestesammenhæng.

Det handler ikke om mistanke mod bestemte producenter, men om selve teknologien, som ifølge myndighederne rummer veldokumenterede sikkerhedsproblemer.

Advarslen retter sig mod Bluetooth som platform, ikke mod specifikke mærker.

Standarden er kompleks, bygger på mange chipsæt og firmwarevarianter og har historisk været præget af gentagne sikkerhedshuller.

Ifølge sikkerhedsforskere findes der flere kendte angrebsformer, herunder angreb uden parring, datatyveri og aflytning via såkaldte man-in-the-middle-metoder.

Forskning i fokus

Baggrunden for den aktuelle bekymring er blandt andet forskningsprojektet WhisperPair, som for nylig blev præsenteret på Chaos Communication Congress i Hamborg.

Angrebet udnytter svagheder i Googles Fast Pair-system og beslægtede Bluetooth-implementeringer i lydudstyr.

Forskerne bag skriver på whisperpair.eu: “Google Fast Pair muliggør parring med et enkelt tryk og synkronisering af konti på tværs af understøttet Bluetooth-tilbehør.

Selvom Fast Pair er blevet implementeret af mange populære forbrugermærker, har vi opdaget, at mange flagskibsprodukter ikke har implementeret Fast Pair korrekt.

Dette har introduceret en sårbarhed, der giver en angriber mulighed for at overtage enheder og spore ofre via Googles Find Hub-netværk.”

I praksis kan en angriber i nærheden ifølge forskningen få uautoriseret adgang, aktivere mikrofoner og i visse tilfælde spore enheder via tilknyttede konti.

Myndighedernes reaktion

For almindelige brugere vurderes risikoen som begrænset.

For politikere, diplomater og ansatte i politi, militær og efterretningstjenester er situationen mere alvorlig, især i en tid med øget geopolitisk spænding.

Politiets IT-gruppe anbefaler derfor, efter rådgivning fra FE, at Bluetooth slås helt fra på tjenesteenheder, uanset om udstyret er privat eller arbejdsrelateret.

Eksperter peger samtidig på, at Bluetooth er designet til bekvemmelighed og lavt strømforbrug frem for høj sikkerhed.

Manglende og sjældne firmwareopdateringer samt indbyggede mikrofoner gør mange enheder til attraktive mål for aflytning.