Sicherheitslücke

AirDrop gibt deine persönlichen Daten an Fremde heraus

Ein Fehler in AirDrop sorgt für eine ungewollte Datenweitergabe. Deine E-Mailadresse und Telefonnummer können so in die Hände von Dritten fallen.

Von   Uhr

Sicherheitsforscher sind verzweifelt, weil Apple eine Sicherheitslücke in Airdrop nicht repariert. Das Problem ist seit Mai 2019 bei Apple bekannt, doch die rund 1,5 Milliarden Geräte, die davon betroffen sind, haben immer noch keinen Fix erhalten.

Wer Problem ist das Share Sheet in iOS und macOS. Grob übersetzt heißt das etwa „Mitteilungsblatt“ und bezieht sich auf die Teilen-Funktion in den Betriebssystemen.

In der Teilen-Funktion hat Apple eine Vielzahl von Möglichkeiten zusammengefasst, um Inhalte wie Texte, Links, Fotos oder Dokumente über verschiedene Kanäle aus sämtlichen Programmen heraus zu verschicken beziehungsweise öffentlich zu machen.

In älteren Arbeiten der Sicherheitsforscher hieß es noch, dass für den Angriff eine Datenbank erforderlich sei und Telefonnummern auch nur teilweise übermittelt würden, doch nun wurde in einer neuen Untersuchung wurde festgestellt, dass die vollständigen Daten übermittelt werden.

Da vertrauliche Dateien im Regelfall nur an bekannte Personen weitergegeben werden sollen, zeigt AirDrop standardmäßig nur Empfängergeräte von Adressbuchkontakten an. Um festzustellen, ob die andere Partei ein Kontakt ist, verwendet AirDrop ein Authentifizierungsverfahren, das die eigenen Kontaktdaten mit den Einträgen im Adressbuch des anderen Geräts abgleicht.

Unbekannte erbeuten private Daten

Forscher der TU Darmstadt haben aber ein Datenschutzproblem gefunden. Angreifer können Telefonnummern und E-Mail-Adressen von Apple-Nutzer:innen abgreifen – ohne jegliches Vorwissen. Der Angriff benötigt lediglich ein WLAN-fähiges Gerät und die physische Nähe zu Personen mit Apple-Geräten.

Sobald eine Person das Teilen-Menü öffnet, wird der Erkennungsprozess auf dem Apple-Gerät initiiert und der Angreifer kann sich einklinken.

Hash-Funktionen nicht wirklich sicher

Die entdeckte Datenschutzlücke ist auf die Verwendung von sogenannten Hash-Funktionen zurückzuführen, die Apple nutzt, um Kontaktdaten während der Authentifizierung zu „verschleiern“. Allerdings haben Forscher:innen der TU Darmstadt nachgewiesen, dass das Austauschen von gehashten Telefonnummern unsicher ist, da sie mithilfe von beispielsweise Brute-Force-Angriffen schnell zurückgerechnet werden können.

Das Forschungsteam hat auch gleich eine alternative zum unsicheren AirDrop vorgestellt, mit dem das Problem behoben werden könnte. PrivateDrop basiert auf kryptographischen Protokollen für Private Set Intersection, also zur sicheren Berechnung einer Schnittmenge aus vertraulichen Datensätzen. Mit dieser Methode kann die gegenseitige Authentifizierung durchgeführt werden, ohne angreifbare Hash-Werte austauschen zu müssen.

PrivateDrop funktioniert genauso schnell wie Airdrop - die Zeit für die Authentifizierung liegt weit unter einer Sekunde.

Was kannst du gegen die Sicherheitslücke in Airdrop tun?

Nun liegt es an Apple, endlich etwas gegen die Airdrop-Sicherheitslücke zu unternehmen, damit unsere Daten wieder sicher sind. Aktuell halt nur, die AirDrop-Erkennung in den Systemeinstellungen zu deaktivieren und das Teilen-Menü nicht zu öffnen. Damit geht aber eine der wichtigsten Funktionen im Alltag flöten.

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "AirDrop gibt deine persönlichen Daten an Fremde heraus" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Zum Verfassen von Kommentaren bitte mit deinem Mac-Life-Account anmelden.

oder anmelden mit...