Anzeige

AirDrop

Bild: Aleksey Khilko / Shutterstock.com

Jüngsten Berichten zufolge gibt Apples AirDrop Personally Identifiable Information (PII, personenbezogene Daten) seiner Benutzern preis.

AirDrop ist eine Funktion, die es ermöglicht, Dateien zwischen macOS- beziehungsweise iOS-Geräten, ohne externe LAN- oder Wi-Fi-Verbindungen auszutauschen. Um die Funktion zu verwenden, müssen Benutzer Bluetooth aktivieren und sich innerhalb der Bluetooth- oder WLAN-Reichweite befinden. Auf diese Weise lassen sich sehr einfach Dateien wie Fotos, Videos oder Dokumente mit anderen iOS Geräten teilen. Allerdings gehen jedes Mal, wenn ein Benutzer das sogenannte Sharing-Panel öffnet, Hashes verloren. Und die legen zumindest Telefonnummern, wahrscheinlich aber auch die E-Mail-Adressen des jeweiligen Nutzers offen. In manchen Fällen werden diese Details sogar dann geteilt, wenn AirDrop nur auf dem Gerät aktiviert ist, aber nicht aktiv verwendet wird. Vorerst lässt sich der Datenabfluss also nur verhindern, indem man die AirDrop-Erkennung im Menü Systemeinstellungen deaktiviert und darauf verzichtet, das Sharing-Panel zu öffnen. 

Apple weiß bereits seit 2019 um diesen Fehler, hat ihn jedoch weder bestätigt noch behoben. Laut Angaben von Sicherheitsforschern, hätten diese Apple schon im Mai 2019 persönlich zu der Schwachstelle informiert. Jetzt, annähernd zwei Jahre später, haben dieselben Forscher „PrivateDrop“ entwickelt und Apple angeboten. Dabei handelt es sich um eine überarbeitete Version von AirDrop, die „Private Set Intersection“ verwendet, eine kryptografische Technik. Sie ermöglicht es zwei Parteien, den Contact-Discovery-Prozess durchzuführen, ohne dabei angreifbare Hashes offenzulegen. 

Dazu ein Kommentar von Boris Cipot, Senior Security Engineer, Synopsys: 

“Sie sind wahrscheinlich mit dem Konzept des Sicherheitsdreiecks vertraut. Es hilft uns, die Beziehung zwischen den Attributen Sicherheit, Funktionalität und Benutzerfreundlichkeit innerhalb einer Software zu verstehen. Die wechselseitige Abhängigkeit unter diesen dreien innerhalb einer Software auszubalancieren, ist für jede gut strukturierte Anwendung unbedingt erforderlich. Bei AirDrop hat man ganz offensichtlich die Benutzerfreundlichkeit in den Fokus gesetzt. Bei dem Versuch, die Benutzerfreundlichkeit so gut wie möglich zu unterstützen, sind aber scheinbar persönliche Informationen durchgesickert. Man mag argumentieren, dass diese Informationen immer noch gehasht und deswegen nicht so leicht zu knacken seien. Angesichts der heute verfügbaren Rechenleistung und dem Mangel an hoher Entropie in der Telefonnummer, die Teil der gehashten Informationen ist, lassen sich solche Hashes selbst mit Brute-Force-Methoden in ziemlich kurzer Zeit knacken. 

Was vielleicht noch erschreckender ist als die Tatsache, dass Nutzerdaten durchgesickert sind, ist der Fakt, dass das Problem anscheinend schon zwei Jahre bekannt war. Und, dass das Unternehmen nichts unternommen hat, um es zu beheben und die Funktion sicherer zu machen (jedenfalls ist darüber nichts öffentlich bekannt geworden). Private Informationen, in diesem Fall Telefonnummern und E-Mail-Adressen, lassen sich zur Identifizierung von Geräten verwenden, mit denen sich die Nutzer verbinden. 

Allerdings kann man sie auch dazu benutzen, die Anwender mit Diensten oder privaten Informationen in Verbindung zu bringen, die diese lieber für sich behalten möchten.“

Boris Cipot, Senior Security Engineer
Boris Cipot
Senior Security Engineer, Synopsys Software Integrity Group

Artikel zu diesem Thema

Microsoft Exchange
Apr 26, 2021

Botnet-Angriff, der Schwachstellen in Microsoft Exchange ausnutzt

Cybereason, Unternehmen für den zukunftssicheren Schutz vor Cyberangriffen, hat eine…
AirDrop
Apr 21, 2021

Datenschutzlücke bei Apple-Filesharing-Funktion - AirDrop teilt nicht nur Dateien

Mittels AirDrop können Apple-User Dateien miteinander teilen. Doch Untersuchungen von…

Weitere Artikel

Hacker

Hackerangriff auf Bayerische Krankenhausgesellschaft (BKG)

Die Bayerische Krankenhausgesellschaft (BKG) ist Opfer von Cyber-Kriminellen geworden. Der E-Mail-Server der BKG sei am Montag mit einer Schadsoftware infiziert worden, erklärte ein Sprecher am Mittwoch.
KI

Omnipräsent: Viele arbeiten mit KI, ohne es zu wissen

Jeder fünfte Erwerbstätige arbeitet bereits mit Künstlicher Intelligenz (KI), ohne sich dessen bewusst zu sein. Das zeigt eine Studie des Deutschen Instituts für Wirtschaftsforschung (DIW Berlin) und der Technischen Universität Berlin (TU Berlin).
Twitch

Twitch bringt Gruppen-Streams für 32 User – per FaceTime

Das Live-Streaming-Videoportal Twitch hat sein Angebot um ein neues Feature erweitert, das ab sofort Gruppen-Streams via FaceTime mit bis zu 32 Personen erlaubt.
Data Governance Act

Data Governance Act – „notwendiger Schwung“ für Datenwirtschaft

Der Digitalverband Bitkom hat den zügigen Abschluss der Trilog-Beratungen über den Data Governance Act gelobt und sieht in ihm eine große Chance, das Teilen von Daten in der EU zu fördern.
acebook Libra

«Vater» von Facebooks Digitalwährung geht

Der frühere Paypal-Chef David Marcus, der die treibende Kraft hinter der von Facebook entwickelten Digitalwährung war, verlässt den Konzern. Er gebe dem Drang nach, wieder als Unternehmer aktiv sein zu wollen, schrieb Marcus am Dienstag bei Twitter.
EU Stift

Neues Datengesetz: EU-Parlament und Mitgliedstaaten einigen sich

Die rasant steigenden Datenmengen von Unternehmen und Behörden sollen künftig besser zum Vorteil von Wirtschaft und Gesellschaft genutzt werden können. Vertreter des Rates der Mitgliedstaaten einigten sich am Dienstagabend mit einem Verhandlungsteam des…

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.