Sicherheitsforscher nutzen Apples "Wo ist?", um Bluetooth-Geräte zu tracken
Kann Apples Findenetzwerk missbraucht werden? US-Experten sagen: Ja – und zwar über das Tracking fremder Bluetooth-Hardware. Der Angriff ist allerdings komplex.
Apples AirTag ist eines der Geräte, die Apples "Wo ist?"-Netzwerk nutzen können.
(Bild: Wachiwit/Shutterstock.com)
Eigentlich gilt Apples "Wo ist?"-Netzwerk, das über Bluetooth und Ultra-Wideband-Funk den Standort von Apple-Geräten wie iPhones und MacBooks, AirTags sowie anderen kompatiblen Geräten übertragen kann, als sicher und geschützt. Zwar gab es in der Vergangenheit bereits Methoden, wie das Netzwerk zur Übertragung weiterer, eigentlich nicht vorgesehener Daten verwendet werden konnte.
Ein Team von Sicherheitsforschern der George Mason University im US-Bundesstaat Virginia zeigt nun aber, dass der Apple-Dienst, der auf Englisch "Find My" heißt, auch zum Tracking anderer im Umfeld befindlicher Bluetooth-Geräte missbraucht werden kann, die gar nicht in das Findenetzwerk integriert sind. Sie hätten einen Weg gefunden, "den Ort nahezu jedes Computers und jedes Mobilgeräts" zu verfolgen, so die Forscher Qiang Zeng und Lisa Luo in ihrem Paper, dass sie mit "Find My Hacker" überschrieben haben. Dabei werden die Bluetooth-Adresse eines Geräts mit "Wo ist?" kombiniert, "um Zielgeräte in unfreiwillige Funkbaken" zu verwandeln.
Weitergabe von Ortsdaten ĂĽber "Wo ist?" ohne Apples Genehmigung
Der Exploit trägt den Namen "nRootTag" und soll es ermöglichen, herkömmliche Bluetooth-Geräte in AirTag-ähnliche Geräte zu verwandeln. Die Erfolgsrate liegt dabei angeblich bei "90 Prozent". Zentrales Element des Angriffs ist die Tatsache, dass es möglich sein soll, die verwendeten Kryptoschlüssel im Rahmen von "Wo ist?" so zu manipulieren, dass das Netzwerk glaubt, dass ein herkömmliches Bluetooth-Gerät ein echter AirTag sei. "Es ist zwar beängstigend, wenn Ihr Smart Lock gehackt wird, aber es wird noch viel schrecklicher, wenn der Angreifer auch den Standort kennt", so die Forscher.
Videos by heise
Das soll zudem angeblich auch aus der Ferne gehen. Die Kosten lägen nur bei "wenigen Dollar". Luo und Zeng, die beide Associate-Professor-Titel am Institut für Informatik der GMU tragen, haben dazu eine effiziente Schlüsselsuchmethode entwickelt, die es erlaubt, für eine gegebene Bluetooth-Adresse – die weltweit eindeutig ist – einen passenden "Wo ist?"-Schlüssel zu finden. Dazu müssen weder Administratorrechte noch eine Privilege Escalation vorliegen. Stattdessen werde das Vertrauen des "Wo ist?"-Netzwerks in Gerätesignale missbraucht. Zwar verändert das Netzwerk bei einem AirTag oder einem anderen in "Wo ist?" integrierten Gerät die Bluetooth-Adresse basierend auf einem kryptografischen Schlüssel. Doch dies müssen die Angreifer eben nicht tun. Stattdessen suchen sie einfach den Schlüssel, der zur Bluetooth-Adresse passt – und das klappt mit der Methode wie erwähnt in 90 Prozent der Fälle.
Patch könnte Jahre brauchen, wenn Nutzer nicht aktualisieren
Nachgewiesen wurde das bei Geräten unter Linux, Windows und Android sowie mit verschiedenen Smart-TV-Geräten und VR-Headsets. Zum Auffinden des Schlüssels kamen allerdings Cloud-basierte GPUs – Hunderte davon, um genau zu sein – zum Einsatz, um den Schlüssel möglichst schnell zu finden. Fehlerhafte Schlüssel lassen sich in einer Rainbow Table abspeichern, um dann letztlich Tausende Geräte gleichzeitig angreifen zu können. Neben Hackern könnten auch Werbefirmen auf die Idee kommen, künftig Bluetooth-Geräte über weite Distanzen zu verfolgen, so Junming Chen, Doktorand und Hauptautor der Studie. Die genauen Details des Hacks will die Gruppe im August in Seattle auf dem USENIX Security Symposium vorstellen.
Der Hack soll sich beheben lassen, indem Apple die Geräteüberprüfung verbessert. Entsprechende Angaben dazu wurden dem Konzern bereits im Sommer 2024 von den GMU-Forschern übermittelt. Angaben zu einem Patch wurden allerdings bislang nicht gemacht. Problematisch bleibe zudem, dass eine große Anzahl von Nutzern ihre Geräte nicht aktualisieren würde – aus verschiedenen Gründen, so Chen. "Das angreifbare "Wo ist?"-Netzwerk wird also weiterhin existieren und diese Geräte sterben nur langsam aus. Der Prozess wird Jahre benötigen." Apples Findenetzwerk ist genauso wie die AirTags weitverbreitet, da die Geräte sehr preiswert sind. Zur Datenweitergabe inklusive der Position von Geräten werden Macs, iPhones, iPads und andere Apple-Geräte verwendet, ohne dass der Nutzer dies spezifisch einräumt.
Die Forscher haben auf GitHub weitere Informationen zu nRootTag publiziert. Darin stellt sich die Angriffsform als deutlich komplexer heraus, als in der Pressemitteilung der GMU beschrieben. Demnach muss auf dem zu trackenden Gerät ein Trojaner laufen, der allerdings keine Root-Rechte benötigt. Dies müssen derzeit Linux-, Windows- oder Android-Systeme sein. Der Trojaner bezieht die Bluetooth-Advertising-Adresse, besorgt sich dann den dazu passenden öffentlichen Schlüssel vom Server des Angreifers und schickt "Lost"-Messages los. Schließlich wird mit einer Rainbow-Table-Datenbank und einer Online-Schlüsselsuche der private Schlüssel aufgefunden. Mit diesem kann dann "Wo ist?" abgefragt werden, um Ortsdaten zu erhalten, die damit entschlüsselt werden können. Bei diesem Aufwand stellt sich die Frage, ob eine Nutzung der GPS-/WLAN-Positionsdaten des Geräts, das sowieso von einem Trojaner befallen werden muss, nicht die einfachere Angriffsform wäre.
Ungeschützt sind Nutzer zudem nicht. Apple hat in iOS 18.2, das im Dezember erschienen ist, einen ersten Patch in der Proximity-Routine implementiert, nennt dort aber keine weiteren Details, sondern bedankt sich nur bei Studienhauptautor Junming Chen und Professor Qiang Zeng für ihre Mithilfe. Denkbar ist, dass iPhones nach dem Einspielen ihren Standort für die Angriffsform nicht mehr weitergeben. Gepatcht wurden außerdem visionOS 2.2, iPadOS 17.7.3, 18.2, watchOS 11.2, tvOS 18.2, macOS Ventura 13.7.2, macOS Sonoma 14.7.2 und macOS Sequoia 15.2. "Der Angriff bleibt jedoch wirksam, solange sich ungepatchte iPhones oder Apple Watches in der Nähe des Computers befinden, auf dem unser Trojaner läuft", so die Forscher.
Das nRootTag-Paper ist bereits vor dem USENIX Security Symposium hier nachzulesen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
