Laut der TU Darmstadt könnte Apples AirDrop Informationen seiner Nutzer preisgeben. Der Techkonzern reagiert darauf bisher allerdings nicht.
AirDrop ist eine bequeme Möglichkeit, Dateien und Fotos mit Menschen in der Umgebung zu teilen. Ein Forscherteam der TU Darmstadt warnt nun davor, dass eine Sicherheitslücke Fremden erlauben könnte, persönliche Informationen zu stehlen. Apple stört das offenkundig nicht, denn die Gruppe von deutschen IT-Experten teilte das dem Konzern bereits vor zwei Jahren mit – ohne Reaktion.
AirDrop und die angreifbare Standardeinstellung
Nutzer von AirDrop haben die Auswahlmöglichkeit von verschiedenen Empfangsmodi: Die Funktion lässt sich einerseits so einstellen, dass der Erhalt von Dateien von allen Absendern möglich ist. Die Standardeinstellung ist aber eine andere: Bei dieser werden Dateien nur von jenen Absendern akzeptiert, welche in der Kontakte-App gespeichert sind. Laut der hessischen Hochschule könne dieser mutmaßlich sichere Mechanismus aber recht simpel umgangen werden. „Als Angreifer ist es möglich, die Telefonnummern und E-Mail-Adressen von AirDrop-Nutzern in Erfahrung zu bringen – selbst als völlig Fremder. Alles, was sie benötigen, ist ein Wi-Fi-fähiges Gerät und physische Nähe zu einem Ziel, das den Erkennungsprozess durch Öffnen des Freigabefensters auf einem iOS- oder macOS-Gerät einleitet“, teilt die TU mit.
Leichtes Spiel für Hacker
Wenn der User das Teilen-Menü aufruft, ist die potenzielle Gefahr groß: AirDrop bedient sich eines Authentifizierungsverfahrens, das Personen in der unmittelbaren Umgebung daraufhin überprüft, ob diese in den Kontakten eingetragen sind. In dieser Phase haben laut der Sicherheitsforscher des Fachbereichs Informatik Angreifer die Möglichkeit, sich einzuklinken und persönliche Daten abzugreifen. Demnach muss der Nutzer nicht einmal eine Datei tatsächlich freigeben, um angreifbar zu sein.
Apple verwendet Hash-Funktionen, um Telefonnummern und E-Mail-Adressen während des AirDrop-Erkennungsprozesses zu verbergen. Die TU-Forscher behaupten, dass diese „keine datenschutzkonforme Erkennung von Kontakten“ ermöglichen. Hash-Werte könnten mit einfachen Techniken wie Brute-Force-Angriffen ausgehebelt werden. Sobald AirDrop nach Personen in der Nähe sucht, sind die Nutzer-Informationen offengelegt und anfällig für Angriffe.
Apple ignoriert Warnungen aus Darmstadt
Die Forscher der Technischen Universität Darmstadt entdeckten das „signifikante Datenschutzleck“ bereits im Mai 2019. Sie berichteten Apple von ihrem Fund, aber getan habe sich seitdem nichts. Dabei lieferten sie nach eigenen Angaben einen Lösungsvorschlag gleich mit: Sie haben eine Alternative entwickelt, die sogenannte „optimierte kryptografische private Set-Intersections-Protokolle“ verwendet, die den Kontaktfindungsprozess sicher durchführen können. Mit dieser Methode werde die gegenseitige Authentifizierung durchgeführt, ohne angreifbare Hash-Werte austauschen zu müssen. Seitens von Apple herrscht jedoch Funkstille, so die Forschergruppe.
Tarnkappe.info
