Sicherheitsforscher: AirDrop kann Kontaktdaten des iPhone-Besitzers preisgeben

Telefonnummer und Mail-Adresse sind gehasht, lassen sich von nahen Angreifern aber zurückrechnen, so die Forscher. Apple kenne die Lücke seit zwei Jahren.

In Pocket speichern vorlesen Druckansicht 59 Kommentare lesen

(Bild: chainarong06/Shutterstock.com)

Lesezeit: 2 Min.
Von
  • Leo Becker

Apples praktischer Nahfunkdienst AirDrop tausche mehr aus als Dateien, warnen Sicherheitsforscher der Technischen Universität Darmstadt: Durch Design-Fehler im zugrundeliegenden Protokoll sei es Angreifern möglich, aus näherer Umgebung die Telefonnummer und E-Mail-Adresse von iPhone-Nutzer:innen einzusehen – sobald diese das Teilen-Menü auf ihrem Gerät öffnen.

Beim Öffnen des Teilen-Menüs auf iPhone und iPad wird stets auch AiDrop aktiv und das Gerät sendet die eigenen Kontaktdaten gehasht aus, um sich bei anderen AirDrop-Geräten in der Umgebung authentifizieren zu können. Standardmäßig ist der Datenaustausch über AirDrop nur möglich, wenn zwei Personen respektive Geräte sich kennen, der Empfänger also Telefonnummer und oder E-Mail-Adresse des Senders in seinem Adressbuch verzeichnet hat.

Auch der AirDrop-Empfänger gibt seine Kontaktdaten preis, aber nur wenn er den Sender kennt: Ein bösartiger Chef könnte so die privaten Kontaktdaten der Mitarbeiter in Erfahrung bringen, wenn diese seine Telefonnummer gespeichert haben, merken die Sicherheitsforscher an.

Es sei "hinlänglich bekannt", dass ein Hashing von Telefonnummern letztlich keinen Schutz darstellt, erläutern die Forscher. Angreifer:innen könnten die von anderen iPhones ausgesendeten "verschleierten" Telefonnummern in Millisekunden zurückrechnen. Bei E-Mail-Adresse sei das zwar "weniger trivial", aber etwa über Wörterbuchangriffe oder dem Rückgriff auf E-Mail-Datenbanken aus großen Datenlecks.

Die Wissenschaftler haben nun einen "Proof of Concept" des Angriffs auf Github veröffentlicht. Die Datenschutzlücke sei auch in den jüngsten Versionen der Betriebssysteme – iOS 14.4.2 und macOS 11.2.3 – noch nicht behoben, obwohl man Apple schon im Mai 2019 darauf aufmerksam gemacht habe. Eine Authentifizierung ohne angreifbare Hash-Werte sei sehr wohl möglich, schreiben die Forscher und haben ihr eigenes Authentifizierungsprotokoll in einem Paper vorgestellt.

Für AirDrop lässt sich in den iOS-Einstellungen nur der Empfang abschalten (unter Allgemein / AirDrop / Empfangen aus), beim Öffnen des Teilen-Menüs werden die Kontaktdaten aber weiter ausgesendet. Eine weitere Möglichkeit besteht darin, AirDrop über die "Beschränkungen" komplett zu blockieren, das ist in den Einstellungen unter "Bildschirmzeit" möglich.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(lbe)