Anzeige

AirDrop

Bild: Aleksey Khilko / Shutterstock.com

Jüngsten Berichten zufolge gibt Apples AirDrop Personally Identifiable Information (PII, personenbezogene Daten) seiner Benutzern preis.

AirDrop ist eine Funktion, die es ermöglicht, Dateien zwischen macOS- beziehungsweise iOS-Geräten, ohne externe LAN- oder Wi-Fi-Verbindungen auszutauschen. Um die Funktion zu verwenden, müssen Benutzer Bluetooth aktivieren und sich innerhalb der Bluetooth- oder WLAN-Reichweite befinden. Auf diese Weise lassen sich sehr einfach Dateien wie Fotos, Videos oder Dokumente mit anderen iOS Geräten teilen. Allerdings gehen jedes Mal, wenn ein Benutzer das sogenannte Sharing-Panel öffnet, Hashes verloren. Und die legen zumindest Telefonnummern, wahrscheinlich aber auch die E-Mail-Adressen des jeweiligen Nutzers offen. In manchen Fällen werden diese Details sogar dann geteilt, wenn AirDrop nur auf dem Gerät aktiviert ist, aber nicht aktiv verwendet wird. Vorerst lässt sich der Datenabfluss also nur verhindern, indem man die AirDrop-Erkennung im Menü Systemeinstellungen deaktiviert und darauf verzichtet, das Sharing-Panel zu öffnen. 

Apple weiß bereits seit 2019 um diesen Fehler, hat ihn jedoch weder bestätigt noch behoben. Laut Angaben von Sicherheitsforschern, hätten diese Apple schon im Mai 2019 persönlich zu der Schwachstelle informiert. Jetzt, annähernd zwei Jahre später, haben dieselben Forscher „PrivateDrop“ entwickelt und Apple angeboten. Dabei handelt es sich um eine überarbeitete Version von AirDrop, die „Private Set Intersection“ verwendet, eine kryptografische Technik. Sie ermöglicht es zwei Parteien, den Contact-Discovery-Prozess durchzuführen, ohne dabei angreifbare Hashes offenzulegen. 

Dazu ein Kommentar von Boris Cipot, Senior Security Engineer, Synopsys: 

“Sie sind wahrscheinlich mit dem Konzept des Sicherheitsdreiecks vertraut. Es hilft uns, die Beziehung zwischen den Attributen Sicherheit, Funktionalität und Benutzerfreundlichkeit innerhalb einer Software zu verstehen. Die wechselseitige Abhängigkeit unter diesen dreien innerhalb einer Software auszubalancieren, ist für jede gut strukturierte Anwendung unbedingt erforderlich. Bei AirDrop hat man ganz offensichtlich die Benutzerfreundlichkeit in den Fokus gesetzt. Bei dem Versuch, die Benutzerfreundlichkeit so gut wie möglich zu unterstützen, sind aber scheinbar persönliche Informationen durchgesickert. Man mag argumentieren, dass diese Informationen immer noch gehasht und deswegen nicht so leicht zu knacken seien. Angesichts der heute verfügbaren Rechenleistung und dem Mangel an hoher Entropie in der Telefonnummer, die Teil der gehashten Informationen ist, lassen sich solche Hashes selbst mit Brute-Force-Methoden in ziemlich kurzer Zeit knacken. 

Was vielleicht noch erschreckender ist als die Tatsache, dass Nutzerdaten durchgesickert sind, ist der Fakt, dass das Problem anscheinend schon zwei Jahre bekannt war. Und, dass das Unternehmen nichts unternommen hat, um es zu beheben und die Funktion sicherer zu machen (jedenfalls ist darüber nichts öffentlich bekannt geworden). Private Informationen, in diesem Fall Telefonnummern und E-Mail-Adressen, lassen sich zur Identifizierung von Geräten verwenden, mit denen sich die Nutzer verbinden. 

Allerdings kann man sie auch dazu benutzen, die Anwender mit Diensten oder privaten Informationen in Verbindung zu bringen, die diese lieber für sich behalten möchten.“

Boris Cipot, Senior Security Engineer
Boris Cipot
Senior Security Engineer, Synopsys Software Integrity Group

Artikel zu diesem Thema

Microsoft Exchange
Apr 26, 2021

Botnet-Angriff, der Schwachstellen in Microsoft Exchange ausnutzt

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyberangriffen, hat eine…
AirDrop
Apr 21, 2021

Datenschutzlücke bei Apple-Filesharing-Funktion - AirDrop teilt nicht nur Dateien

Mittels AirDrop können Apple-User Dateien miteinander teilen. Doch Untersuchungen von…

Weitere Artikel

Messenger

Auf fast jedem Smartphone wird ein Messenger genutzt

Wer ein Smartphone hat, greift fast immer auch auf Messenger-Dienste wie WhatsApp, Signal oder Threema zurück.
Gaming

Gaming zieht sich durch alle Altersschichten

Mehr als 34 Millionen Menschen in Deutschland spielen Videospiele. Das meldet der Verband der deutschen Games-Branche – game.
Klima business

Kyocera und Handel schmieden Klimaallianz

Klimaschutz ist keine Kostenfrage. Auch wenn es alle angeht, muss einer vorangehen. Kyocera hat sich als Unternehmen klimaneutral gestellt und vertreibt seit Jahren nur noch Produkte, deren CO2-Fußabdruck durch eigene oder zertifizierte Klimaschutzprojekte…
TikTok

TikTok will nun auch Online-Händler werden

Das beliebte Videoportal TikTok will außerhalb Chinas zusätzlich zur Online-Handelsplattform werden. Vorbild des von ByteDance betriebenen Portals ist Douyin, das diesen Schritt bereits getätigt hat. Im ersten Betriebsjahr wurden in der Volksrepublik mit…
Tesla Bitcoin

Wegen Umweltbedenken: Tesla stoppt Bitcoin-Zahlungen

Der US-Elektroautobauer Tesla hat Zahlungen mit der Kryptowährung Bitcoin wegen Umweltbedenken angesichts des hohen Stromverbrauchs gestoppt.
Toby Alcock Chief Technology Officer der Logicalis Group

Logicalis Group: Toby Alcock wird Chief Technology Officer

Logicalis, internationaler Anbieter von IT-Lösungen und Managed Services, hat Toby Alcock zum Chief Technology Officer der Logicalis Group ernannt.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.