Anzeige

Apple Tracking

Bild: Kaspars Grinvalds / Shutterstock.com

Die vom Apple-Konzern angebotene Tracking-App „Wo ist?“ soll es leichter machen, eigene Apple-Geräte zu finden – vom MacBook bis zum AirPod. Die Ortung läuft über Bluetooth, funktioniert also auch, wenn die Geräte offline oder in den Flugmodus geschaltet sind.

Eine praktische Funktion also für alle Apple-Nutzerinnen und -Nutzer, um zum Beispiel zu sehen, ob das iPhone vielleicht noch auf dem Büroschreibtisch liegt oder womöglich in der U-Bahn aus der Tasche fiel. Zwar arbeitet die App verschlüsselt, sodass niemand – auch nicht Apple selbst – die generierten Ortungs- und Identitätsdaten auslesen und zurückverfolgen können sollte. Dennoch hat das Forschungsteam des Secure Mobile Networking Lab der TU Darmstadt Sicherheitslücken gefunden.

Ein vierköpfiges Forschungsteam des Secure Mobile Networking Lab – Alexander Heinrich, Milan Stute, Tim Kornhuber und Professor Matthias Hollick – hat zwei Schwachstellen im Betriebssystem macOS entdeckt und nun veröffentlicht – im Paper „Who Can Find My Devices?“, welches auf der internationalen Flaggschiff-Konferenz für Datenschutztechnologien „PETS − Privacy Enhancing Technologies Symposium“ präsentiert wird. Demnach ist es mithilfe einer Malware insbesondere im Betriebssystem macOS möglich, heimlich vergangene und aktuelle Ortungsdaten aller Apple-Geräte einer Nutzerin oder eines Nutzers einzusehen. Mit dem Wissen dieser Daten wäre es dann laut Forschungsteam leicht möglich, beispielsweise auch ein Haus oder einen Arbeitsplatz als oft besuchte Orte der Betroffenen zu identifizieren, und zwar mit einer Genauigkeit bis auf zehn Meter. Diese massive Schwachstelle hat das Team bereits an Apple gemeldet und Lösungen vorgeschlagen. Die Lücke wurde mit einem Softwareupdate für macOS auf die Version 10.15.7 im September 2020 behoben.

Doch selbst ohne unbefugte Zugriffe auf dem Rechner könnten Rückschlüsse auf Besitzerinnen und Besitzer von Geräten gezogen werden: Schon wenn zwei oder mehrere Apple-Nutzerinnen und -Nutzer sich in der Nähe zueinander aufhalten und später die Daten ihrer „Wo ist?“-App abrufen, könnte diese Nahdistanz im Nachhinein von Apple noch immer nachgewiesen werden. Die vier TU-Wissenschaftler belegen dies anhand des Beispielszenarios einer Demonstration, auf der die Teilnehmenden ihre iPhones in den Flugmodus schalten, um nicht über das Handynetz geortet zu werden. Die Endgeräte würden dann weiterhin über „Wo ist?“ gemeldet, wodurch Apple im Nachhinein dennoch die Nähe der Endgeräte feststellen könnte. Apple behauptet zwar, dass diese Daten nicht gespeichert würden – „allerdings bestünde die technische Möglichkeit, entsprechende Begegnungen zentral zu protokollieren“, so das Forschungsteam.

„Wir haben mehr als ein Jahr gebraucht, um die einzelnen Komponenten von „Wo ist?“ so zu verstehen, dass wir nach Schwachstellen suchen konnten“, erklärt Milan Stute. Nachdem das Forschungsteam die Funktionsweise der App aufwändig rekonstruiert hatte, konnte es in Experimenten die Sicherheitslücken des macOS Betriebssystems beweisen. Die schwere Nachvollziehbarkeit der genauen Funktionsweise der App habe auch dazu geführt, dass Apple-User bzw. deren Daten mehr als ein Jahr über die beschriebene Schwachstelle potentiell angreifbar waren, beklagt Hollick. Er plädiert deshalb für transparentere Open-Source Lösungen in diesem Bereich kritischer Daten: „Wir verstehen, dass ein Unternehmen sein geistiges Eigentum schützen muss. Wir sind jedoch der Meinung, dass Systeme wie „Wo ist?“, die mit hochsensiblen Informationen arbeiten, frei zugänglich oder zumindest vollständig dokumentiert sein müssen, um zeitnah unabhängige Analysen zu ermöglichen.“

www.tu-darmstadt.de

 


Artikel zu diesem Thema

Covid-App
Mär 01, 2021

Viele Anti-Corona-Apps mit Schwachstellen

Anlässlich der COVID-19-Pandemie genutzte Contact-Racing-Apps rund um die Welt haben…
Open Source
Feb 11, 2021

Schluss mit den Vorurteilen – Open Source ist sicher

Open Source ist aus vielen Unternehmen nicht mehr wegzudenken, dennoch halten sich einige…

Weitere Artikel

Login

Sichere Logins: Das wünschen sich die Nutzer

Immer mehr Waren und Dienstleistungen werden online gekauft. Nutzer legen dabei Wert auf bequeme Bedienung und hohen Datenschutz. Wie lässt sich beides am besten vereinbaren?
Smart-eID: Online-Ausweis

Digital ausweisen mit dem Online-Ausweis auf dem Smartphone

Ab Winter können sich Bürgerinnen und Bürger direkt über ihr kompatibles Samsung Galaxy Smartphone ausweisen und ausgewählte Behördengänge erledigen – eine komfortable und intuitive Ergänzung zur bisherigen elektronischen Identifizierung mittels haptischem…
Mobile Security

Smartphone-Sicherheit: Datenklau und Ransomware sind größte Gefahren

Das SANS Institute, eine der weltweit renommiertesten und größten Schulungs- und Zertifizierungsorganisationen rund um das Thema Informationssicherheit, stellt die Ergebnisse des aktuellen Reports über die sichere Nutzung von Mobilgeräten vor. Der Report…
Smartphone

Wie kann man die Sperrfunktion des Smartphones umgehen?

Komfort und Sicherheit verhalten sich in der IT oft ähnlich in ihrem Verhältnis zueinander wie Freiheit und Sicherheit. Das eine geht nur auf Kosten des anderen. Ein aktuelles Beispiel bietet die Apple Pay „Express Transit“-Funktionalität.
Digital Wallet

Das Datenschutz-Fiasko mit der ID Wallet-App

Spätestens im Zuge der Corona-Pandemie und den neuen Homeoffice-Regelungen ist klar geworden: Deutschland muss digitaler werden. Der Bund hat nun mit der ID Wallet-App einen kleinen Schritt in die Zukunft gewagt – und ist krachend gescheitert.
Mobile Security

Schlechte Integration macht Vorteile mobiler Technologien zunichte

Die neue globale Studie „A Defining Year: State of Mobility 2021 Report“ des IoT- und Mobile-Management-Experten SOTI zeigt: Die unzureichende Integration mobiler Technologien in die firmeneigene IT-Infrastruktur schwächt Unternehmen in einem offenbar…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.