Apples "Wo ist": Keylogger-Tastatur nutzt Ortungsnetz zum Passwortversand
Eigentlich soll es helfen, verlorene Dinge aufzuspüren. Unsere Keylogger-Tastatur nutzt Apples "Wo ist"-Ortungsnetz jedoch zum Ausschleusen von Daten.
(Bild: PORTRAIT IMAGES ASIA BY NONWARIT/Shutterstock.com)
(This article is also available in English)
Um verlorene Dinge aufzuspüren, an denen etwa ein AirTag befestigt ist, leistet Apples "Wo ist?"-Ortungsnetz gute Dienste. Die können bösartige Akteure jedoch zum Ausschleusen von Daten missbrauchen. Dass das tatsächlich in größerem Stil funktioniert, demonstriert jetzt eine vom IT-Sicherheitsexperten Fabian Bräunlein gebaute Tastatur mit Keylogger. Mit so einem Gerät könnten böswillige Angreifer etwa Passwörter ausspähen und an sich senden – unbemerkt, vorbei an allen Sicherheitsvorkehrungen im lokalen Netzwerk, über die iPhones und andere Apple-Geräte unbeteiligter Personen in der Nähe – nach dem deutschen Strafrecht eine klar strafbare Handlung.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Das "Wo ist?"-Ortungsnetz basiert auf Abermillionen iPhones, iPads und Macs. Diese empfangen Bluetooth-Signale von Apple-AirTags, anderen Apple-Geräten und kompatiblen Produkten und melden ihren Standort automatisch in die Apple-Cloud. Auch selbstgebaute Geräte können an dem Ortungsnetz teilnehmen, wie Forscher der TU Darmstadt bereits vor einiger Zeit herausgefunden haben. Das ist ein allerdings zweischneidiges Schwert: Bastler nutzen das, um kompatible Tracker auf Grundlage eines Mikrocontrollers wie dem ESP32 zu bauen, Angreifer können darüber beliebige Daten übertragen, die weit über die Ortung hinausgehen – zum Beispiel durch einen Keylogger ausgespähte Passwörter.
Dass "Wo ist?" ein gewisses Missbrauchspotenzial birgt, hat Bräunlein bereits im Frühjahr 2021 entdeckt und kritisiert. Das Problem besteht auch jetzt noch, fast drei Jahre später. Er belegt dies mit einem aktuellen Experiment, für das er einen Keylogger in eine USB-Tastatur integrierte. Alles, was in die Tastatur eingetippt wird, wird durch das Apple-Netz an einen Rechner geschickt, der sich an einem beliebigen Ort befinden kann. Bei einem Keylogging-Angriff wäre das der Rechner des Angreifers. So würden Passwörter, vertrauliche E-Mails und vieles mehr in die Hände des Angreifers fallen.
Keylogger sind seit Jahren ein ernstes Sicherheitsproblem. Es gibt diverse Hardware-Keylogger, die zwischen USB-Tastatur und Rechner gesteckt werden und für Virenschutzprogramme unsichtbar sind. Die Hacking-Geräte speichern Tastaturaufzeichnungen im internen Speicher und könnten die abgegriffenen Daten häufig auch über WLAN an den Angreifer übertragen. Das kann jedoch schnell auffallen, etwa wenn ein Unternehmen die WLAN-Aktivitäten vor Ort mit einer Monitoring-Lösung überwacht.
Bluetooth als Datenschleuder
Mit dem von Bräunlein entdeckten Verfahren können Angreifer indes weitgehend unsichtbar agieren: Zur Übertragung der Daten werden lediglich Bluetooth-Low-Energy Pakete mit geringer Reichweite verschickt, die kaum auffallen. Die Pakete ähneln den Bluetooth-Advertisements, die Apple AirTags verschicken, um gefunden werden zu können. Empfangen Apple-Geräte in Reichweite solche Pakete, reagieren sie automatisch darauf, indem sie Standortberichte bei Apples "Wo ist?"-Netzwerk hochladen. Anhand dieser Standortberichte kann der Angreifer die verschickten Daten rekonstruieren. Dieser Angriff ist besonders perfide, da es im Zweifel die Apple-Geräte des Opfers oder völlig unbeteiligter Personen sind, die die Daten des Keyloggers ins Internet schleusen.
Möglich wird die Datenübertragung ironischerweise, weil das "Wo ist?"-Netzwerk stark auf Datenschutz getrimmt wurde. Durch die eingesetzte Kryptografie können weder die Apple-Geräte noch Apple selbst feststellen, von welchen AirTags die Bluetooth-Pakete stammen – und ob es sich überhaupt um echte Geräte handelt oder einen Angreifer. Der Angreifer kann zwar nicht den Inhalt des Standortberichts vorgeben, dafür aber den Hash, der genutzt wird, um den Ortungsbericht im Apple-Netz abzulegen und wieder abzurufen. In diesen Hash kann der Angreifer auf geschickte Weise die Bits und Bytes kodieren, die er übertragen möchte. Indem er die Standortberichte wieder abruft, kann er herausfinden, welche Daten sein Keylogger verschickt hat. Da der Abruf über das Internet erfolgt, kann sich der Angreifer zu diesem Zeitpunkt an einem beliebigen Ort aufhalten.
Gegenmaßnahmen?
Vermeiden kann man Angriffe aufgrund der offenen Architektur prinzipiell nicht. Apple könnte versuchen, ungewöhnliche Aktivitäten zu erkennen und zu blockieren. Das könnte allerdings zu einem Katz-und-Maus-Spiel mit den Angreifern führen. Hochsicherheitsbereiche können durch die Pflicht, insbesondere iPhones, iPads und MacBooks an gefahrloser Stelle abzugeben oder zumindest die Ortungsfunktionen abzustellen, geschützt werden. In zu sichernden Bereichen dürfen dann keine anderen Apple-Geräte mit aktiviertem "Wo ist?" zum Einsatz kommen. Unter iOS und iPadOS etwa wird die Übertragung über den Schalter "Wo ist?"-Netzwerk unter "Einstellungen/[Ihr Name]/Wo ist?/Mein [Gerät] suchen" abgeschaltet. Auf fremde Geräte hat man natürlich keinen Einfluss, deren Besitzer müssten selbst aktiv werden.
Die c't hat bei Apple eine Anfrage zu dieser Schwachstelle gestellt. Bis zum Meldungszeitpunkt haben wir jedoch keine Antwort vom Hersteller erhalten.
Genauere Details zu der dargestellten Problematik stellt der Artikel "Keylogger macht sich Apples Ortungsnetz zunutze" aus Ausgabe c't 25/23 vor.
(dmk)
