7
Microsoft macht Bluetooth absichtlich kaputt: Windows 10 Update blockiert Bluetooth-Verbindungen zu Android
Moin,
jetzt spinnt MS total , was muss ich da auf Chip.de lesen:
Sollte Ihr ständig Bluetooth mit Windows 10 nutzen, spielt das Update nicht ein, weil wenn die Bluetooth Verbindung danach nicht mehr funktioniert, wird Sie so lange nicht funktionieren, bis Ihr ein Update dafür für euer Gerät bekommt.
Schönen Gruss aus dem schönen Emsland !
Werner
jetzt spinnt MS total , was muss ich da auf Chip.de lesen:
Auch im Juni schließt Microsoft im Rahmen seines Patchdays wieder eine Vielzahl von Sicherheitslücken in seinen verschiedenen Betriebssystemen. Das BSI stuft die Fehler mit der zweithöchsten Risikostufe 4 "Hoch" ein und empfiehlt, die entsprechenden Aktualisierungen sofort herunterzuladen.
Es kann gut sein, dass Sie nach dem Update Probleme mit Bluetooth-Geräten haben. Den Sachverhalt greift Microsoft sogar in einem eigenen Support-Dokument auf. Dabei geht es darum, dass Microsoft das Pairing von Bluetooth-Geräten blockiert, wenn die verwendeten Langzeit-Keys zur Verschlüsselung unsicher sind. Angreifer könnten das nämlich ohne Zutun des Nutzers ausnutzen, um Tastatureingaben über das Bluetooth-Gerät in Windows einzuschleusen. Die technische Fehlerbeschreibung zeigt, dass davon derzeit wohl nur bestimmte Android-Smartphones betroffen sind.
Nutzer mit Problemen sollten in der Ereignisanzeige nach einem Eintrag im System Event Log Ausschau halten. Der Name lautet "BTHPORT_DEBUG_LINK_KEY_NOT_ALLOWED" und ihm ist die Ereignis-ID 22 zugeordnet. Der Bluetooth-Stack lehnt Debugging-Abfragen ab, wenn sich das Gerät nicht im Debugging-Modus befindet. Betroffene Nutzer sollten beim Handy-Hersteller nach einem Update Ausschau halten. Gibt es das nicht, bleibt derzeit nur die Option, das Windows-Update wieder zu entfernen. Betroffen sind nur Nutzer von Windows 8.1 und Windows 10.
Es kann gut sein, dass Sie nach dem Update Probleme mit Bluetooth-Geräten haben. Den Sachverhalt greift Microsoft sogar in einem eigenen Support-Dokument auf. Dabei geht es darum, dass Microsoft das Pairing von Bluetooth-Geräten blockiert, wenn die verwendeten Langzeit-Keys zur Verschlüsselung unsicher sind. Angreifer könnten das nämlich ohne Zutun des Nutzers ausnutzen, um Tastatureingaben über das Bluetooth-Gerät in Windows einzuschleusen. Die technische Fehlerbeschreibung zeigt, dass davon derzeit wohl nur bestimmte Android-Smartphones betroffen sind.
Nutzer mit Problemen sollten in der Ereignisanzeige nach einem Eintrag im System Event Log Ausschau halten. Der Name lautet "BTHPORT_DEBUG_LINK_KEY_NOT_ALLOWED" und ihm ist die Ereignis-ID 22 zugeordnet. Der Bluetooth-Stack lehnt Debugging-Abfragen ab, wenn sich das Gerät nicht im Debugging-Modus befindet. Betroffene Nutzer sollten beim Handy-Hersteller nach einem Update Ausschau halten. Gibt es das nicht, bleibt derzeit nur die Option, das Windows-Update wieder zu entfernen. Betroffen sind nur Nutzer von Windows 8.1 und Windows 10.
Sollte Ihr ständig Bluetooth mit Windows 10 nutzen, spielt das Update nicht ein, weil wenn die Bluetooth Verbindung danach nicht mehr funktioniert, wird Sie so lange nicht funktionieren, bis Ihr ein Update dafür für euer Gerät bekommt.
Schönen Gruss aus dem schönen Emsland !
Werner
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 462216
Url: https://administrator.de/contentid/462216
Printed on: April 25, 2024 at 08:04 o'clock
7 Comments
Latest comment
Sie fixen ein Sicherheitsloch und als Kollateralschaden werden wohl nur bestimmte Android-Smartphones nicht mehr verbinden können.
Das hat weder was mit Absicht, noch mit kaputtmachen, noch mit blockieren zu tun.
BT Funktioniert nach dem Einspielen ebenso.
Ohne Details zu kennen, darf man wohl davon ausgehen, das hier einfach nur mal wieder Protokoll-Chaos bei BT herrscht und durch den Fix irgendwelche Ranz-Chips/Treiber/Programme nicht mehr gehen.
Was soll also diese BLÖD-Like-Überschrift ? Klingt nach kindischem MS bashing auf unterster Ebene. Wenn, dann sind die Telefon bzw Gerätehersteller zu bashen, weil sie ihren ### nicht (mehr) patchen
Das hat weder was mit Absicht, noch mit kaputtmachen, noch mit blockieren zu tun.
BT Funktioniert nach dem Einspielen ebenso.
Ohne Details zu kennen, darf man wohl davon ausgehen, das hier einfach nur mal wieder Protokoll-Chaos bei BT herrscht und durch den Fix irgendwelche Ranz-Chips/Treiber/Programme nicht mehr gehen.
Was soll also diese BLÖD-Like-Überschrift ? Klingt nach kindischem MS bashing auf unterster Ebene. Wenn, dann sind die Telefon bzw Gerätehersteller zu bashen, weil sie ihren ### nicht (mehr) patchen
7
@SeaStorm:
Historie ansehen: https://administrator.de/user/1werner1/
Dann wir einiges klarer und bestätigt Deine Aussage.
Viele Grüße
von
departure69
Historie ansehen: https://administrator.de/user/1werner1/
Dann wir einiges klarer und bestätigt Deine Aussage.
Viele Grüße
von
departure69
Um mal seriöse Quellen zu verlinken:
Der Fehler, den Microsoft gefixt hat, hat die CVE-Nummer CVE-2019-2102.
Darin wird beschrieben, dass für Verbindungen teilweise ein Key für die Verschlüsselung und Authentifizierung verwendet wurde, welcher hardcoded im Quelltext steht und (da der Quellcode ja öffentlicht ist) damit als allgemein bekannt anzusehen ist.
Nicht nur hardcoded im Quelltext, nein, da haben Entwickler einen Key aus einem Beispiel in der Spezifikation zu Bluetooth 5.1 unverändert übernommen und verwendet. Das müsste eigentlich bereits bei der Entwicklung Schmerzen bereitet haben!
Hier in der offiziellen Spezifikation nachzulesen auf Seite 2848.
(Hier ist ein etwas schnellerer Mirror
)
Ein Angreifer kann jetzt jedenfalls also diesen Key nutzen um so zu tun, als sei er ein dem Windows-System bereits bekanntes Bluetooth-Gerät und in dessen Identität Tastatureingaben schicken - und damit letztlich beliebige Befehle ausführen.
Und - da auch OTP-Generatoren betroffen sind - die generierten OTP-Tokens mitlesen und sich so auch noch Zugang zu irgendwelchen Webdiensten erschleichen.
Das ist etwas, was sich im vom TO nicht verlinkten Chip-Artikel etwas anders liest - die gehen nämlich davon aus, dass nur Smartphones betroffen sind.
Bei seriöseren und nicht ganz so Clickbait-Geilen Quellen wie Golem wird das übrigens explizit und eher unaufgeregt erwähnt.
Es gibt halt einen semantischen Unterschied zwischen "jemand macht etwas kaputt" und "jemand repariert etwas, was andere kaputt gemacht haben"
Der Fehler ist also ganz klar bei den Herstellen, die diesen hardcoded hinterlegten Schlüssel verwendet haben.
Wer den hardcoded Key mal sehen will, findet ihn noch im Quelltext - naja, und natürlich in der oben verlinkten Spezifikation, wo der Key ja her ist
Das ist jetzt auch in Android rausgepatched worden, so dass auch Android-Geräte selbst diesen Schlüsseln misstrauen und Geräte jedes Mal neu gepaired werden müssen.
Der CVE hat übrigens einen Score von 8,8 (von 10) - das ist also keine Option für Microsoft, diese Lücke im System zu lassen
Der Fehler, den Microsoft gefixt hat, hat die CVE-Nummer CVE-2019-2102.
Darin wird beschrieben, dass für Verbindungen teilweise ein Key für die Verschlüsselung und Authentifizierung verwendet wurde, welcher hardcoded im Quelltext steht und (da der Quellcode ja öffentlicht ist) damit als allgemein bekannt anzusehen ist.
Nicht nur hardcoded im Quelltext, nein, da haben Entwickler einen Key aus einem Beispiel in der Spezifikation zu Bluetooth 5.1 unverändert übernommen und verwendet. Das müsste eigentlich bereits bei der Entwicklung Schmerzen bereitet haben!
Hier in der offiziellen Spezifikation nachzulesen auf Seite 2848.
(Hier ist ein etwas schnellerer Mirror
)Ein Angreifer kann jetzt jedenfalls also diesen Key nutzen um so zu tun, als sei er ein dem Windows-System bereits bekanntes Bluetooth-Gerät und in dessen Identität Tastatureingaben schicken - und damit letztlich beliebige Befehle ausführen.
Und - da auch OTP-Generatoren betroffen sind - die generierten OTP-Tokens mitlesen und sich so auch noch Zugang zu irgendwelchen Webdiensten erschleichen.
Das ist etwas, was sich im vom TO nicht verlinkten Chip-Artikel etwas anders liest - die gehen nämlich davon aus, dass nur Smartphones betroffen sind.
Bei seriöseren und nicht ganz so Clickbait-Geilen Quellen wie Golem wird das übrigens explizit und eher unaufgeregt erwähnt.
Es gibt halt einen semantischen Unterschied zwischen "jemand macht etwas kaputt" und "jemand repariert etwas, was andere kaputt gemacht haben"
Der Fehler ist also ganz klar bei den Herstellen, die diesen hardcoded hinterlegten Schlüssel verwendet haben.
Wer den hardcoded Key mal sehen will, findet ihn noch im Quelltext - naja, und natürlich in der oben verlinkten Spezifikation, wo der Key ja her ist
Das ist jetzt auch in Android rausgepatched worden, so dass auch Android-Geräte selbst diesen Schlüsseln misstrauen und Geräte jedes Mal neu gepaired werden müssen.
Der CVE hat übrigens einen Score von 8,8 (von 10) - das ist also keine Option für Microsoft, diese Lücke im System zu lassen
1
Danke für die Zusammenfassung 
Man darf da einfach immer auf die ranzigen Schrott-Hersteller schimpfen 😁 die produzieren immer nur Schrott
Man darf da einfach immer auf die ranzigen Schrott-Hersteller schimpfen 😁 die produzieren immer nur Schrott
@LordGurke
Danke für die Aufklärung. Und da merkt man die Qualität des Beitrags und die Kenntnis von @LordGurke.
Nochmals Danke und Hochachtung für die Recherche.
Gruss Penny.
Danke für die Aufklärung. Und da merkt man die Qualität des Beitrags und die Kenntnis von @LordGurke.
Nochmals Danke und Hochachtung für die Recherche.
Gruss Penny.
1
