Apples AirDrop-Funktion ermöglicht den schnellen und bequemen Datenaustausch zwischen Macs, iPhones und iPads. Allerdings besteht seit längerer Zeit eine Schwachstelle, die es Dritten ermöglicht, Daten abzugreifen. Darauf weist die Technische Universität Darmstadt hin. Brisant: Demnach ist Apple bereits vor zwei Jahren über die Datenschutzlücke informiert worden, passiert ist bislang nichts.
"Da vertrauliche Dateien im Regelfall nur an bekannte Personen weitergegeben werden sollen, zeigt AirDrop standardmäßig nur Empfängergeräte von Adressbuchkontakten an. Um festzustellen, ob die andere Partei ein Kontakt ist, verwendet AirDrop ein Authentifizierungsverfahren, das die eigenen Kontaktdaten mit den Einträgen im Adressbuch des anderen Geräts abgleicht", teilte die TU Darmstadt vor wenigen Tagen mit. Und genau in diesem Verfahren besteht das Sicherheitsproblem.
"Angreifer können Telefonnummern und E-Mail-Adressen von Apple-Nutzern abgreifen – ohne jegliches Vorwissen über ihre Opfer. Der Angriff benötigt lediglich ein Wi-Fi-fähiges Gerät und die physische Nähe zu Personen mit Apple-Geräten. Sobald eine Person das ,Teilen‘-Menü öffnet, wird der Erkennungsprozess auf dem Apple-Gerät initiiert und der Angreifer kann sich 'einklinken'.
Bild: Apple.
Die entdeckte Datenschutzlücke ist auf die Verwendung von sogenannten Hash-Funktionen zurückzuführen, die Apple nutzt, um Kontaktdaten während der Authentifizierung zu 'verschleiern'. Allerdings haben Forscher der TU Darmstadt bereits nachgewiesen, dass das Austauschen von gehashten Telefonnummern unsicher ist, da sie mithilfe von beispielsweise Brute-Force-Angriffen schnell zurückgerechnet werden können", heißt es weiter.
Die TU Darmstadt hat nach eigenen Angaben Apple im Mai 2019 über das Problem informiert. Das Unternehmen habe die Datenschutzlücke bislang aber weder bestätigt noch angekündigt, an einer Lösung zu arbeiten. Anwender können sich aktuell einzig durch die Abschaltung von AirDrop behelfen. Die TU Darmstadt hat nach eigenen Angaben eine alternative Lösung entwickelt, die sicherer als AirDrop ist und auf einem anderen Ansatz beruht.
Die Forschungsergebnisse wurden in einem wissenschaftlichen Artikel veröffentlicht, der im August auf dem renommierten "USENIX Security Symposium" präsentiert wird. Es bleibt zu hoffen, dass Apple jetzt - nachdem die Datenschutzlücke publik geworden ist - entsprechend reagieren wird.