Anzeige

AirDrop

Bild: Aleksey Khilko / Shutterstock.com

Jüngsten Berichten zufolge gibt Apples AirDrop Personally Identifiable Information (PII, personenbezogene Daten) seiner Benutzern preis.

AirDrop ist eine Funktion, die es ermöglicht, Dateien zwischen macOS- beziehungsweise iOS-Geräten, ohne externe LAN- oder Wi-Fi-Verbindungen auszutauschen. Um die Funktion zu verwenden, müssen Benutzer Bluetooth aktivieren und sich innerhalb der Bluetooth- oder WLAN-Reichweite befinden. Auf diese Weise lassen sich sehr einfach Dateien wie Fotos, Videos oder Dokumente mit anderen iOS Geräten teilen. Allerdings gehen jedes Mal, wenn ein Benutzer das sogenannte Sharing-Panel öffnet, Hashes verloren. Und die legen zumindest Telefonnummern, wahrscheinlich aber auch die E-Mail-Adressen des jeweiligen Nutzers offen. In manchen Fällen werden diese Details sogar dann geteilt, wenn AirDrop nur auf dem Gerät aktiviert ist, aber nicht aktiv verwendet wird. Vorerst lässt sich der Datenabfluss also nur verhindern, indem man die AirDrop-Erkennung im Menü Systemeinstellungen deaktiviert und darauf verzichtet, das Sharing-Panel zu öffnen. 

Apple weiß bereits seit 2019 um diesen Fehler, hat ihn jedoch weder bestätigt noch behoben. Laut Angaben von Sicherheitsforschern, hätten diese Apple schon im Mai 2019 persönlich zu der Schwachstelle informiert. Jetzt, annähernd zwei Jahre später, haben dieselben Forscher „PrivateDrop“ entwickelt und Apple angeboten. Dabei handelt es sich um eine überarbeitete Version von AirDrop, die „Private Set Intersection“ verwendet, eine kryptografische Technik. Sie ermöglicht es zwei Parteien, den Contact-Discovery-Prozess durchzuführen, ohne dabei angreifbare Hashes offenzulegen. 

Dazu ein Kommentar von Boris Cipot, Senior Security Engineer, Synopsys: 

“Sie sind wahrscheinlich mit dem Konzept des Sicherheitsdreiecks vertraut. Es hilft uns, die Beziehung zwischen den Attributen Sicherheit, Funktionalität und Benutzerfreundlichkeit innerhalb einer Software zu verstehen. Die wechselseitige Abhängigkeit unter diesen dreien innerhalb einer Software auszubalancieren, ist für jede gut strukturierte Anwendung unbedingt erforderlich. Bei AirDrop hat man ganz offensichtlich die Benutzerfreundlichkeit in den Fokus gesetzt. Bei dem Versuch, die Benutzerfreundlichkeit so gut wie möglich zu unterstützen, sind aber scheinbar persönliche Informationen durchgesickert. Man mag argumentieren, dass diese Informationen immer noch gehasht und deswegen nicht so leicht zu knacken seien. Angesichts der heute verfügbaren Rechenleistung und dem Mangel an hoher Entropie in der Telefonnummer, die Teil der gehashten Informationen ist, lassen sich solche Hashes selbst mit Brute-Force-Methoden in ziemlich kurzer Zeit knacken. 

Was vielleicht noch erschreckender ist als die Tatsache, dass Nutzerdaten durchgesickert sind, ist der Fakt, dass das Problem anscheinend schon zwei Jahre bekannt war. Und, dass das Unternehmen nichts unternommen hat, um es zu beheben und die Funktion sicherer zu machen (jedenfalls ist darüber nichts öffentlich bekannt geworden). Private Informationen, in diesem Fall Telefonnummern und E-Mail-Adressen, lassen sich zur Identifizierung von Geräten verwenden, mit denen sich die Nutzer verbinden. 

Allerdings kann man sie auch dazu benutzen, die Anwender mit Diensten oder privaten Informationen in Verbindung zu bringen, die diese lieber für sich behalten möchten.“

Boris Cipot, Senior Security Engineer
Boris Cipot
Senior Security Engineer, Synopsys Software Integrity Group

Artikel zu diesem Thema

Microsoft Exchange
Apr 26, 2021

Botnet-Angriff, der Schwachstellen in Microsoft Exchange ausnutzt

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyberangriffen, hat eine…
AirDrop
Apr 21, 2021

Datenschutzlücke bei Apple-Filesharing-Funktion - AirDrop teilt nicht nur Dateien

Mittels AirDrop können Apple-User Dateien miteinander teilen. Doch Untersuchungen von…

Weitere Artikel

künstliche Intelligenz

KI entschlüsselt Geheimnisse antiker Texte

Forscher der University of Notre Dame entwickeln ein neuronales Netzwerk in Kombination mit maschinellem Lernen, um alte Handschriften zu entziffern.
Ransomware

DoppelPaymer taucht als Grief wieder auf

Anfang Mai 2021 gingen die Aktivitäten der Ransomware DoppelPaymer deutlich zurück, nachdem die Erpressergruppe dahinter auch in deutschen Organisationen Bekanntheit erlangt hatte.
5G

2021 wächst der weltweite Umsatz mit 5G-Netzinfrastrukturen um 39 %

Der weltweite Umsatz mit 5G-Netzinfrastrukturen wird bis 2021 um 39 % auf insgesamt 19,1 Milliarden USD steigen, so die neuste Prognose des Research- und Beratungsunternehmens Gartner. 2020 betrug dieser Wert noch 13,7 Milliarden USD.
DDoS

2021 auf dem Weg zu 11 Millionen DDoS-Attacken

In der ersten Jahreshälfte 2021 wurde gemäß den Messungen von Netscout ein Rekord von 5,4 Millionen DDoS-Angriffen verzeichnet, was einem Anstieg von 11 Prozent gegenüber dem gleichen Zeitraum im Jahr 2020 entspricht.
Content Day 2021

ContentDay 2021 - Hotspot für Online-Experten

Ganz nach dem Motto „It’s all about content“ dreht sich am ContentDay 2021 alles um relevante Inhalte auf digitalen Kanälen.
Hackerangriff

Unternehmen beklagen immense Schäden durch Cyberangriffe

Es gibt kaum noch Unternehmen in Deutschland, die von Cyberattacken verschont bleiben.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.