Danske myndigheter slår alarm: Advarer mot Bluetooth

Bluetooth er blitt en selvfølge i hverdagen. Hodetelefoner, høyttalere, klokker, biler og annet utstyr er konstant koblet til mobiltelefoner og datamaskiner via den trådløse teknologien.

Nettopp derfor blir Bluetooth også et stadig mer attraktivt mål for digitale angrep – særlig fordi mange enheter sjelden oppdateres.

Nå går danske myndigheter ut med en klar advarsel mot bruk av Bluetooth-basert lydutstyr i tjenestesammenheng. Det skriver itavisen.

Ikke et merkeproblem – men en teknologisk svakhet

Advarselen kommer fra Forsvarets Efterretningstjeneste (FE) og handler ikke om skjult overvåking fra teknologiselskaper eller produsentspionasje. I stedet peker etterretningstjenesten på dokumenterte sårbarheter i Bluetooth som teknologiplattform.

Det betyr at advarselen ikke retter seg mot spesifikke produkter som AirPods, Sony-hodetelefoner eller Pixel Buds, men mot Bluetooth som standard. Plattformen er kompleks, med mange ulike implementasjoner, varierende brikkesett og en lang historikk med sikkerhetshull.

Kjente angrep mot Bluetooth

Sikkerhetsforskere har over tid dokumentert flere alvorlige angrepstyper, blant annet:

• BlueBorne, som kan angripe enheter uten parring
• BlueSnarfing, der data kan hentes ut via Bluetooth
• Man-in-the-middle-angrep, som muliggjør avlytting eller manipulering av kommunikasjon
• Fastvare-sårbarheter i Bluetooth-lydbrikker fra tredjepartsleverandører

WhisperPair utløste ny bekymring

Den konkrete bakgrunnen for advarselen er blant annet forskningsarbeidet WhisperPair, presentert på hacker-konferansen Chaos Communication Congress i Hamburg. Angrepet utnytter svakheter i Googles Fast Pair-system og tilhørende Bluetooth-implementasjoner i lydutstyr.

Forskerne skriver på whisperpair.eu:

«Google Fast Pair muliggjør ett-trykks-paring og kontosynkronisering på tvers av støttede Bluetooth-tilbehør. Selv om Fast Pair er tatt i bruk av mange populære forbrukermerker, har vi oppdaget at mange flaggskipprodukter ikke har implementert Fast Pair korrekt. Dette har introdusert en sårbarhet som gjør det mulig for en angriper å overta enheter og spore ofre via Googles Find Hub-nettverk.»

I praksis kan en angriper i nærheten koble seg til lydutstyr uten samtykke, aktivere mikrofoner og i enkelte tilfeller spore enheter via Google-kontoer.

Derfor reagerer myndighetene

For vanlige forbrukere vurderes risikoen som begrenset. For politikere, diplomater, politi, militære og etterretningstjenester er situasjonen en annen. Derfor anbefaler Politiets Koncern IT, etter råd fra FE, at Bluetooth slås helt av på tjenesteenheter – uavhengig av om utstyret er privat eller jobbrelatert.

Bluetooth ble utviklet for komfort, ikke høysikkerhet. Kombinert med mangelfulle oppdateringer og innebygde mikrofoner gjør dette teknologien sårbar i sensitive sammenhenger.