Sicherheitsproblem: AirDrop und andere Apple-Features können Nutzerdaten preisgeben

Angreifer können Features von Apple-Geräten wie AirDrop und das Teilen von Passwörtern dazu missbrauchen, um an sensible Nutzerdaten zu gelangen – darunter Telefonnummern und MAC-Adressen von Apple-Rechnern. Das geht aus einem Bericht des Security-Unternehmens Hexway hervor. Die potenzielle Angriffsfläche ergibt sich, da iPhones, Macs und andere Produkte des Unternehmens aus Cupertino für die Funktionen eine Bluetooth-Verbindung nutzen.


Einige persönliche Daten sichtbar
Hexway nennt die gefundenen Sicherheitsprobleme „Apple bleee“. Die Dienste AirDrop und „Passwort-Teilen“ geben via Bluetooth Low Energy diverse Geräteinformationen preis, darunter das Betriebssystem, die Akkuladung und den Gerätenamen. Hexway spürte zudem Angaben zu Telefonnummern, MAC-Adressen von Macs, E-Mail-Adressen und der genutzten Apple ID auf, die per SHA256-Hash geschützt und nur zum Teil sichtbar sind.


Hexway hat mehrere Videos via YouTube veröffentlicht, die zeigen, wie Angreifer an die entsprechenden Informationen gelangen können. In einem Clip geht es darum, die Telefonnummer eines iPhones aufzuspüren. Zudem sei es möglich, Anfragen via Bluetooth LE zu schicken und sich als AirPods oder andere ungefährliche Geräte auszugeben, um zum Beispiel an WLAN-Passwörter zu kommen.

Lösung: Bluetooth deaktivieren
Lösungen für die Probleme sind nicht in Sicht, da Apple sich für einen Kompromiss aus Benutzerfreundlichkeit und Datenschutz respektive Sicherheit entschieden habe, so Rob Graham von Errata Security. Entsprechende persönliche Informationen müssten bei den thematisierten Features übertragen werden, um einen komfortablen Betriebsablauf zu garantieren. Als einzige Lösung gebe es nur die Holzhammer-Methode: Bluetooth deaktivieren.

Kommentare

MLOS05.08.19 09:27
Bereits im Mai 2019 und November 2018 wurden in AWDL Lücken ausgemacht. Siehe dazu beispielsweise hier als ergänzenden Artikel:


Apple versichert sogar, dass die MAC-Adresse nicht auslesbar sei, beide Artikel beweisen jedoch das Gegenteil.
"Es ist ein unerwarteter Fehler aufgetreten" - Welche Fehler wurden denn erwartet?
0
cab
cab05.08.19 11:41
Da ich sowieso niemals Bluetooth benutze, ist mir das herzlich egal.
Diese formschöne Signatur gibt es jetzt zum günstigen Einstiegspreis von nur 849,95€ !
-3
Eventus
Eventus05.08.19 12:27
Etwas wirklich heikles kann man so aber kaum erfahren, oder? WLAN-Passwort? Gibt sich jemand so viel Mühe, um sowas zu erfahren?
Live long and prosper! 🖖
0
ocrho05.08.19 16:26
Liebe MacTecNews-Redaktion,

Ihr müsstet doch eigentlich wissen, dass AirDrop sich über das Kontrollzentrum gezielt ein- und ausschalten lässt. Dazu muss nur auf das Bluetooth-Symbol der Finger länger gedrückt halten werden und dann kommt eine Vergrößerung in der dann sechs Icons erscheinen. Das fünfte Icon trägt den Namen "AirDrop Empfang aus".

Bitte ergänzt dies im Artikel, weil das ist praktischer als ständig Bluetooth zu deaktivieren.

Viele Grüße,
ocrho

PS: In älteren iOS-Versionen war diese Funktion nicht so trickreich versteckt.
0
neffs05.08.19 20:00
ocrho
Bitte ergänzt dies im Artikel, weil das ist praktischer als ständig Bluetooth zu deaktivieren.
Die von Hexways gezeigten Probleme im Bereich AirDrop tauchen auf wenn man den systemweiten Teilen-Dialog verwendet, weil dann Nachbarn mit aktiviertem AirDrop gesucht werden. AirDrop Empfang zu deaktivieren hilft da rein gar nichts.
0
MLOS05.08.19 21:45
Eventus

Eigentlich dürfte es doch nicht so einfach sein, WLAN-Passwörter abzugreifen. Diese Funktion ist doch sowieso nur für Kontakte zugelassen, oder?
"Es ist ein unerwarteter Fehler aufgetreten" - Welche Fehler wurden denn erwartet?
0
Eventus
Eventus05.08.19 23:20
MLOS
Eventus
Eigentlich dürfte es doch nicht so einfach sein, WLAN-Passwörter abzugreifen. Diese Funktion ist doch sowieso nur für Kontakte zugelassen, oder?
Natürlich ist selbst ein abgegriffenes WLAN-Kennwort im Prinzip ein Sicherheitsleck, allerdings m. E. harmlos, denn der Aufwand ist gross für solches Diebesgut.

Was meinst du mit nur für Kontakte? AirDrop kann aus oder nur für Kontakte ein oder für alle ein sein.
Live long and prosper! 🖖
0
MLOS09.08.19 17:24
Eventus
Ich spreche von der Passwort teilen-Funktion, die seit iOS 11 verfügbar ist. Diese funktioniert nur mit Kontakten aus dem Adressbuch.
"Es ist ein unerwarteter Fehler aufgetreten" - Welche Fehler wurden denn erwartet?
0

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen