Sophos zoekt de grenzen van Bluetooth-beveiliging op

Bij het beveiligen van het Internet of Things (IoT) gaat het vaak over de security van het complete netwerk, losse endpoints, encryptie of het ontwikkelproces. Binnen de ontwikkeling van apparaten wordt nu nog een onderdeel vergeten dat wel eens een gevaar kan vormen op de korte en lange termijn: Bluetooth. Fabrikanten gebruiken in apparaten momenteel vaak chips die met zowel wifi als Bluetooth komen, zonder die laatste functie daadwerkelijk uit te schakelen. Een hacker zou deze connectie kunnen gebruiken voor zijn kwade praktijken. Hierover spraken wij enkele mensen van Sophos.

We horen al jaren over de slechte beveiliging van Bluetooth. Maar is dat ook echt zo? Bij Sophos doet men daar uiteraard onderzoek naar. Eén van de personen die ethisch gezien verantwoord omgaat met de kwetsbaarheden van Bluetooth is John Shier. Als Senior Security Advisor van Sophos houdt hij zich bezig met een (hobby-)project rondom dit thema. We spraken hem, Alan Phillips (Product Manager) en Petter Nordwall (Director of Product Marketing) onlangs over de beveiliging van IoT. We richten ons hierbij met name op Bluetooth.

Oppikken van het signaal

In de kamer waar we het drietal interviewen hangt een scherm dat onze nieuwsgierigheid wekt. Wat we zien is informatie over apparaten in de buurt. Dit komt voort uit het project waarmee Shier zich onder andere bezighoudt. Hij zet antennes in om Bluetooth signalen op te pikken, zodat hij achter bepaalde gegevens van een apparaat komt. Ze pikken tot een bepaalde afstand signalen uit de lucht op. Deze signalen kunnen soms ook gedetecteerd worden als een gebruiker zelf Bluetooth uit heeft gezet.

Eerder dit jaar toonde onderzoek van Quartz aan dat Android Bluetooth blijft gebruiken na het uitzetten ervan, om data over de locatie te verzenden naar Google. Dit gebeurt door de unieke identificatiecodes van beacons te versturen. Dergelijke verzendpunten vinden we in publieke omgevingen, zoals winkels en musea. Het doel hierachter is om telefoons te helpen de exacte locatie binnen gebouwen te bepalen. Google maakt hier echter voortdurend gebruik van om gerichter digitale advertenties te kunnen tonen, zo stelt Quartz.

Informatie vaststellen

Bij het oppikken van het signaal bepaalt Sophos welk type Bluetooth er gebruikt wordt: smart of klassiek. Bij een smart-connectie gaat het meer om apparaten die voor IoT bestemd zijn. Het is ontworpen om specifieke types informatie op te halen. Apparaten als wearables, hartmonitoren en sensoren maken hier gebruik van.

In het geval van de klassieke Bluetooth-verbinding kan het gaan om de types BR en EDR, waarbij vooral de dataoverdrachtssnelheid het verschil maakt. De eerste vorm haalt een snelheid van 1 Mbit/s, de tweede maximaal 3 Mbit/s. Bijvoorbeeld bij hoofdtelefoons en het verzenden van bestanden is er sprake van de klassieke Bluetooth-verbinding.

Na het bepalen van het type Bluetooth kunnen er wat specifiekere methodes op toegepast worden, zodat het security-team zoveel mogelijk informatie weet te verzamelen. Dit resulteert in het vaststellen van de fabrikant van het apparaat, de naam van het device, het MAC-adres, wat voor soort apparaat het is en op welke afstand het zich bevindt.

Het volgen kan beginnen

Op basis van deze informatie kan vaak iemand geïdentificeerd en gevolgd worden, namelijk door een bepaald gedragspatroon te herkennen. Als Shier Nordwall in de gaten zou willen houden kan hij vaststellen dat er iedere keer drie apparaten tevoorschijn komen op het scherm. Shier heeft een bepaalde functie in zijn Python-scipt ingebouwd. Dit maakt het mogelijk om iedere keer een signaal te ontvangen zodra één van de MAC-adressen van Nordwall opgepikt wordt. Iemand tracken is daarmee best eenvoudig.

Bovendien zijn er nog wat extra trucjes op de interface toegepast, om het overzicht niet te verliezen. Zo zien we alleen de apparaten die de afgelopen 300 seconden in de omgeving waren. Indien de grens van 250 seconden bereikt wordt, dan verandert de tekst in het rood. Deze apparaten bevinden zich dan ook onderin het scherm. Zo bevinden de apparaten van een persoon zich vaak bij elkaar.

Allerlei mogelijkheden

Inmiddels is het onderzoek dus al in een fase waarin er daadwerkelijk iemand bespioneerd kan worden. De volgende stap kan het daadwerkelijk beïnvloeden van een apparaat zijn. Dat is iets waar momenteel nog niet al te veel over gezegd kan worden, maar in ons gesprek maakt Sophos duidelijk er wel vertrouwen in te hebben dat dat gaat lukken.

Het onderzoek gaat op meerdere gebieden verder dan alleen het volgen van een gebruiker. Shier vertelt ons een verhaal van een blokje om met de hond, terwijl zijn rugzak gevuld was met antennes. Tot zijn verbazing vond hij negen CPAP-machines voor hulp bij slaapapneu. Uit nieuwsgierigheid ging Shier op zoek naar waarom dergelijke apparaten een connectie hebben. Na het bekijken van de fabrikant ontdekte hij dat er een plug-in te koop is om met de smartphone te verbinden.

Na het downloaden van de APK begint hij die te onderzoeken. Wellicht dat er op die manieren kwetsbaarheden vindbaar zijn. Dan hoeft hij niet per se het apparaat direct aan te vallen, maar wordt de applicatie aangevallen.

Wat Shier betreft doet hij nog meer van dit soort projecten waarbij de bevindingen van het toeval af hangen. Zo wil hij op het moment dat we hem spreken graag nog eens op een maandagochtend op een drukke parkeerplaats gaan staan. Dan zijn er een hoop mensen om hem heen die hun smartphone koppelen aan hun auto. Het is dan puur kijken wat er te leren valt van zo’n moment.

Waar ligt de schuld?

Door zijn onderzoek ontdekte de Shier dat er veel diversiteit is wat betreft Bluetooth. Hij durft inmiddels wel te stellen dat Bluetooth best veilig is, maar dan wel onder de voorwaarde dat het veilig geïmplementeerd wordt. De kanttekening is echter dat er veel te veel apparaten in elkaar gezet worden zonder Bluetooth uit te schakelen op de chip voor connecties, terwijl het om een overbodige functie gaat.

Shier denkt bijvoorbeeld dat hij ook op termijn met zijn dongel die als antenne dient in een bosje kan gaan zitten in de buurt van een smart home. Met een betrouwbaar signaal van zo’n tien meter kan hij dan de slimme deurvergrendeling in de gaten houden. Deze kwetsbare kant van IoT-security  (een eenvoudig onderdeel als Bluetooth) wordt vaak vergeten.

Eigenlijk is dat niet iets wat we direct de fabrikanten kunnen verwijten. Sommige fabrikanten zullen het misschien wel standaard uitschakelen of te maken krijgen met praktische richtlijnen vanuit een regio. Bovendien zien we dat mensen bij hobbyprojecten met de Raspberry Pi ook vaak eenzelfde fout maken. Dan bouwt de maker iets wat hij precies nodig heeft, zonder rekening te houden met de onderdelen die niet benodigd zijn. Deze manier van werken moet veranderen.

Verantwoordelijkheid bij de consument

Daarom ziet Shier niet veel in het reguleren van IoT-beveiliging. Idealiter houdt men rekening met het standaard inbouwen van encryptie, zodat er niets anders dan versleutelde communicatie geaccepteerd wordt. Een erkend embleem op een product met garanties vanuit een organisatie zou wel kunnen helpen. Dan zou een consument bereid zijn 2 euro meer te betalen voor een veilig product.

Dit sluit in zekere zin aan bij het Nist Cybersecurity Framework, onderdeel van het Amerikaanse ministerie van Handel. Daar wordt een set best practices geformuleerd om de veiligheid te garanderen door middel van een embleem. Het blijft dan een kwestie van wat de consument wil: een veilig (IoT)-product of een kwetsbaar apparaat.