TU Darmstadt entdeckt Datenschutzlücke in AirDrop - Apple hüllt sich in Schweigen

26. Apr. 2021 12:30 Uhr - Redaktion

Apples AirDrop-Funktion ermöglicht den schnellen und bequemen Datenaustausch zwischen Macs, iPhones und iPads. Allerdings besteht seit längerer Zeit eine Schwachstelle, die es Dritten ermöglicht, Daten abzugreifen. Darauf weist die Technische Universität Darmstadt hin. Brisant: Demnach ist Apple bereits vor zwei Jahren über die Datenschutzlücke informiert worden, passiert ist bislang nichts.

"Da vertrauliche Dateien im Regelfall nur an bekannte Personen weitergegeben werden sollen, zeigt AirDrop standardmäßig nur Empfängergeräte von Adressbuchkontakten an. Um festzustellen, ob die andere Partei ein Kontakt ist, verwendet AirDrop ein Authentifizierungsverfahren, das die eigenen Kontaktdaten mit den Einträgen im Adressbuch des anderen Geräts abgleicht", teilte die TU Darmstadt vor wenigen Tagen mit. Und genau in diesem Verfahren besteht das Sicherheitsproblem.

"Angreifer können Telefonnummern und E-Mail-Adressen von Apple-Nutzern abgreifen – ohne jegliches Vorwissen über ihre Opfer. Der Angriff benötigt lediglich ein Wi-Fi-fähiges Gerät und die physische Nähe zu Personen mit Apple-Geräten. Sobald eine Person das ,Teilen‘-Menü öffnet, wird der Erkennungsprozess auf dem Apple-Gerät initiiert und der Angreifer kann sich 'einklinken'.

 
iOS/iPadOS 14
 
iOS/iPadOS: AirDrop hat Datenschutzlücke - Apple seit Mai 2019 informiert.
Bild: Apple.

 

Die entdeckte Datenschutzlücke ist auf die Verwendung von sogenannten Hash-Funktionen zurückzuführen, die Apple nutzt, um Kontaktdaten während der Authentifizierung zu 'verschleiern'. Allerdings haben Forscher der TU Darmstadt bereits nachgewiesen, dass das Austauschen von gehashten Telefonnummern unsicher ist, da sie mithilfe von beispielsweise Brute-Force-Angriffen schnell zurückgerechnet werden können", heißt es weiter.

Die TU Darmstadt hat nach eigenen Angaben Apple im Mai 2019 über das Problem informiert. Das Unternehmen habe die Datenschutzlücke bislang aber weder bestätigt noch angekündigt, an einer Lösung zu arbeiten. Anwender können sich aktuell einzig durch die Abschaltung von AirDrop behelfen. Die TU Darmstadt hat nach eigenen Angaben eine alternative Lösung entwickelt, die sicherer als AirDrop ist und auf einem anderen Ansatz beruht.

Die Forschungsergebnisse wurden in einem wissenschaftlichen Artikel veröffentlicht, der im August auf dem renommierten "USENIX Security Symposium" präsentiert wird. Es bleibt zu hoffen, dass Apple jetzt - nachdem die Datenschutzlücke publik geworden ist - entsprechend reagieren wird.

Kommentare

Wenn man das so liest, könnte man meinen, dass der Angreifer das komplette eigene Adressbuch (verschlüsselt) zu sehen bekommt. Aber ist es denn nicht so, dass der nur die Nummer/ID des Opfers zu sehen bekommt? Um festzustellen, ob ein AirDrop-Empfänger fremd ist, muss ich als Versender doch nur DESSEN Nummer in meinem eigenen Adressbuch suchen und nicht ICH meine Nummer in SEINEM Adressebuch suchen? Oder hab ich da was falsch verstanden?

Da muss also der Hacker praktisch einige Meter entfernt sitzen, um Daten abzugreifen.

Das ist von der Schwere jetzt nicht so bedenklich wie eine Remote Zero Day Lücke.

Trotzdem wäre es gut, wenn Apple bald einen Fix veröffentlicht.