Angreifer können Features von Apple-Geräten wie AirDrop und das Teilen von Passwörtern dazu missbrauchen, um an sensible Nutzerdaten zu gelangen – darunter Telefonnummern und MAC-Adressen von Apple-Rechnern. Das geht aus einem Bericht des Security-Unternehmens Hexway hervor. Die potenzielle Angriffsfläche ergibt sich, da iPhones, Macs und andere Produkte des Unternehmens aus Cupertino für die Funktionen eine Bluetooth-Verbindung nutzen.


Einige persönliche Daten sichtbar
Hexway nennt die gefundenen Sicherheitsprobleme „Apple bleee“. Die Dienste AirDrop und „Passwort-Teilen“ geben via Bluetooth Low Energy diverse Geräteinformationen preis, darunter das Betriebssystem, die Akkuladung und den Gerätenamen. Hexway spürte zudem Angaben zu Telefonnummern, MAC-Adressen von Macs, E-Mail-Adressen und der genutzten Apple ID auf, die per SHA256-Hash geschützt und nur zum Teil sichtbar sind.


Hexway hat mehrere Videos via YouTube veröffentlicht, die zeigen, wie Angreifer an die entsprechenden Informationen gelangen können. In einem Clip geht es darum, die Telefonnummer eines iPhones aufzuspüren. Zudem sei es möglich, Anfragen via Bluetooth LE zu schicken und sich als AirPods oder andere ungefährliche Geräte auszugeben, um zum Beispiel an WLAN-Passwörter zu kommen.

Lösung: Bluetooth deaktivieren
Lösungen für die Probleme sind nicht in Sicht, da Apple sich für einen Kompromiss aus Benutzerfreundlichkeit und Datenschutz respektive Sicherheit entschieden habe, so Rob Graham von Errata Security. Entsprechende persönliche Informationen müssten bei den thematisierten Features übertragen werden, um einen komfortablen Betriebsablauf zu garantieren. Als einzige Lösung gebe es nur die Holzhammer-Methode: Bluetooth deaktivieren.