Anzeige

AirDrop

Bild: Aleksey Khilko / Shutterstock.com

Jüngsten Berichten zufolge gibt Apples AirDrop Personally Identifiable Information (PII, personenbezogene Daten) seiner Benutzern preis.

AirDrop ist eine Funktion, die es ermöglicht, Dateien zwischen macOS- beziehungsweise iOS-Geräten, ohne externe LAN- oder Wi-Fi-Verbindungen auszutauschen. Um die Funktion zu verwenden, müssen Benutzer Bluetooth aktivieren und sich innerhalb der Bluetooth- oder WLAN-Reichweite befinden. Auf diese Weise lassen sich sehr einfach Dateien wie Fotos, Videos oder Dokumente mit anderen iOS Geräten teilen. Allerdings gehen jedes Mal, wenn ein Benutzer das sogenannte Sharing-Panel öffnet, Hashes verloren. Und die legen zumindest Telefonnummern, wahrscheinlich aber auch die E-Mail-Adressen des jeweiligen Nutzers offen. In manchen Fällen werden diese Details sogar dann geteilt, wenn AirDrop nur auf dem Gerät aktiviert ist, aber nicht aktiv verwendet wird. Vorerst lässt sich der Datenabfluss also nur verhindern, indem man die AirDrop-Erkennung im Menü Systemeinstellungen deaktiviert und darauf verzichtet, das Sharing-Panel zu öffnen. 

Apple weiß bereits seit 2019 um diesen Fehler, hat ihn jedoch weder bestätigt noch behoben. Laut Angaben von Sicherheitsforschern, hätten diese Apple schon im Mai 2019 persönlich zu der Schwachstelle informiert. Jetzt, annähernd zwei Jahre später, haben dieselben Forscher „PrivateDrop“ entwickelt und Apple angeboten. Dabei handelt es sich um eine überarbeitete Version von AirDrop, die „Private Set Intersection“ verwendet, eine kryptografische Technik. Sie ermöglicht es zwei Parteien, den Contact-Discovery-Prozess durchzuführen, ohne dabei angreifbare Hashes offenzulegen. 

Dazu ein Kommentar von Boris Cipot, Senior Security Engineer, Synopsys: 

“Sie sind wahrscheinlich mit dem Konzept des Sicherheitsdreiecks vertraut. Es hilft uns, die Beziehung zwischen den Attributen Sicherheit, Funktionalität und Benutzerfreundlichkeit innerhalb einer Software zu verstehen. Die wechselseitige Abhängigkeit unter diesen dreien innerhalb einer Software auszubalancieren, ist für jede gut strukturierte Anwendung unbedingt erforderlich. Bei AirDrop hat man ganz offensichtlich die Benutzerfreundlichkeit in den Fokus gesetzt. Bei dem Versuch, die Benutzerfreundlichkeit so gut wie möglich zu unterstützen, sind aber scheinbar persönliche Informationen durchgesickert. Man mag argumentieren, dass diese Informationen immer noch gehasht und deswegen nicht so leicht zu knacken seien. Angesichts der heute verfügbaren Rechenleistung und dem Mangel an hoher Entropie in der Telefonnummer, die Teil der gehashten Informationen ist, lassen sich solche Hashes selbst mit Brute-Force-Methoden in ziemlich kurzer Zeit knacken. 

Was vielleicht noch erschreckender ist als die Tatsache, dass Nutzerdaten durchgesickert sind, ist der Fakt, dass das Problem anscheinend schon zwei Jahre bekannt war. Und, dass das Unternehmen nichts unternommen hat, um es zu beheben und die Funktion sicherer zu machen (jedenfalls ist darüber nichts öffentlich bekannt geworden). Private Informationen, in diesem Fall Telefonnummern und E-Mail-Adressen, lassen sich zur Identifizierung von Geräten verwenden, mit denen sich die Nutzer verbinden. 

Allerdings kann man sie auch dazu benutzen, die Anwender mit Diensten oder privaten Informationen in Verbindung zu bringen, die diese lieber für sich behalten möchten.“

Boris Cipot, Senior Security Engineer
Boris Cipot
Senior Security Engineer, Synopsys Software Integrity Group

Artikel zu diesem Thema

Microsoft Exchange
Apr 26, 2021

Botnet-Angriff, der Schwachstellen in Microsoft Exchange ausnutzt

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyberangriffen, hat eine…
AirDrop
Apr 21, 2021

Datenschutzlücke bei Apple-Filesharing-Funktion - AirDrop teilt nicht nur Dateien

Mittels AirDrop können Apple-User Dateien miteinander teilen. Doch Untersuchungen von…

Weitere Artikel

Christine Regitz zur Präsidentin der Gesellschaft für Informatik gewählt

Ab 2022 wird Christine Regitz (SAP SE) als erste Präsidentin in der mehr als 50-jährigen Geschichte der Gesellschaft für Informatik e.V. (GI) für die Mitglieder der größten Informatik-Fachgesellschaft im deutschsprachigen Raum sprechen.
Smartphone Kalender

Termine: Deutsche setzen 2022 auf Smartphone und Papier

Viele Deutsche werden ihre Termine 2022 zweigleisig planen. Ein Drittel nutzt sowohl das Smartphone als auch den klassischen Papierkalender. Je ein Viertel lehnt die doppelte Buchführung ab und entscheidet sich für eine der beiden Varianten.
Internet Schnecke

Lahmes Internet? Bundesnetzagentur legt Regeln für Minderungsrecht fest

Die Bundesnetzagentur hat Regeln festgelegt, auf deren Basis Verbraucher bei schlechtem Festnetz-Internet ihre Monatszahlungen kürzen dürfen.
Hacker

Jeder zweite Deutsche fürchtet sich vor Identitätsdiebstahl

Laut des Unisys Security Index 2021 fürchtet sich knapp jeder zweite Deutsche vor Identitätsdiebstahl (47 Prozent). Internetviren und Hackerangriffe rufen bei 41 Prozent der Befragten ebenfalls Sicherheitsbedenken hervor.
Corona Phishing

Cyberkriminelle nutzen Omikron-Variante als Phishing-Köder

Die Sicherheitsexperten von Proofpoint haben erneut eine Zunahme von digitalen Attacken via E-Mail festgestellt, bei denen Cyberkriminelle neueste Entwicklungen rund um das Corona-Virus als thematische Köder für digitale Angriffe verwenden, darunter…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.