Wir haben Apples Wo-Ist-Netzwerk gehackt! | Keylogger selbstgebaut

Apples Wo-Ist-Netzwerk ist nicht nur zum Finden von Dingen nützlich, man kann damit beliebige Daten übertragen. Ohne, dass das die Übertragenden mitbekommen.

Transkript des Videos

(Hinweis: Dieses Transkript ist für Menschen gedacht, die das Video oben nicht schauen können oder wollen. Der Text gibt nicht alle Informationen der Bildspur wieder.)

Wichtiger Hinweis: Dieses Video ist keine Hacking-Anleitung! Es zeigt ein mögliches Szenario, wie Hacker Apples Wo-Ist-Netzwerk nutzen könnten und wie man sich dagegen schützen kann. Ein Nachmachen des Angriffs ist mit den Informationen in diesem Video und denen im c't-Artikel nicht möglich.

Guckt mal hier, ich tippe hier ganz normal auf einer Tastatur. Die hängt über USB an einem Notebook, das, ACHTUNG, nicht mit dem Internet verbunden ist. Und trotzdem wird das, was ich tippe, ins Netz übertragen – theoretisch mitlesbar von einem Angreifer, der mir die Tastatur untergejubelt hat. Und halt auch die Passwörter die ich eintippe. Verborgen in der Tastatur ist nämlich ein sogenannter Keylogger, der alles Getippte über Apples Wo-Ist-Netzwerk ins Internet schickt. Und wenn ihr jetzt denkt, hä, das Wo-ist-Netzwerk ist doch dafür da, irgendwelche Sachen zu finden? Ja, das ist richtig, aber man kann dieses Netz auch so verwenden wie Apple es nicht vorgesehen hat, nämlich, um beliebige Daten zu verschicken. Einfach über fremde Apple-Geräte – also wenn ihr mit einem iPhone in der Tasche an dieser manipulierten Tastatur vorbeilauft, werden die Daten über euer iPhone übertragen, ohne dass ihr das mitbekommt. Wie das alles funktioniert, zeigt mir gleich der c’t-Sicherheitsexperte Ronald Eikenberg. Bleibt dran.

Liebe Hackerinnen, liebe Internetsurfer, herzlich willkommen hier bei...

Keno: Ja, schön, dass du da bist, Ronald. Wir haben ja hier das Corpus Delicti, die böse Tastatur. Habt ihr diese Idee, das Wo-ist-Netzwerk als Keylogger zu benutzen, habt ihr die irgendwo aufgegriffen oder wird ihr euch das selber ausgedacht? Wie kam das denn zustande überhaupt?

Ronald: Das Sendeverfahren ist nicht ganz neu. Das ist im Prinzip seit 2021 bekannt. Der Fabian Bräunlein, das ist auch der Autor, dem ist das aufgefallen, weil die TU Darmstadt angefangen hat, das Protokoll von Wo-ist und von den AirTags komplett auseinanderzunehmen. Und ja, dann ist der Fabian Bräunlein auf die Idee gekommen, das auch zu nutzen mit einem Trick, um beliebige Daten zu übertragen. Er hat auch schon so grob skizziert, dass man das zum Beispiel für IoT-Sensoren benutzen kann. Also, weiß ich nicht, Außentemperaturfühler oder so. Ist natürlich super praktisch, weil es wenig Strom verbraucht und überall verfügbar ist.

Keno: Man muss dann kein WLAN da aufbauen im Garten, sondern man kann dann einfach so Piggyback-mäßig das Wo-ist-Netzwerk verwenden?

Ronald: Ja, aber diese Idee mit dem Keylogger, das... das ist tatsächlich neu. Und wir wollten jetzt einfach mal wissen, nach fast drei Jahren muss man ja sagen, funktioniert das noch? Und wie gefährlich ist das denn wirklich? Ja, da habe ich den Fabian mal gefragt, wie es denn aussieht. Und er hat dann diese Tastatur gebaut, wo der Keylogger einfach eingebaut ist und in seinem Test auch recht zuverlässig funktioniert hat. Wir haben ja im Vorfeld schon ein paar Versuche gemacht, eine komplette E-Mail übertragen, mit nur ganz wenigen Fehlern, die nicht wichtig waren. Und sowas wie Passwörter sind von der Länge auch überhaupt kein Problem. Ja, Texteingaben verbrauchen halt wenig Speicher und sind dementsprechend halt auch recht easy übertragen.

Keno: Ja, dann lass uns das doch einfach mal ausprobieren! Dann rufen wir doch den Fabian Bräunlein mal an, der ist gerade in Hongkong. Und dann tippen wir mal was auf der Tastatur und gucken, ob das bei dem ankommt. Wir haben ja auch Mac-Devices auf jeden Fall. Okay. Gehen denn eigentlich auch, ich habe mich einmal vertippt, Backspaces und so, wird das dann mit übertragen?

Fabian: Genau, ich glaube, das habe ich so programmiert, dass das dann angezeigt wird als Backspace irgendwie. Ich glaube, Klammer, also eckige Klammer auf, Backspace, eckige Klammer zu oder so ähnlich.

Keno: Also es kann halt sein, dass jetzt quasi iPhone 1 Buchstaben 1 aufnimmt und überträgt und ein anderes Gerät dann den zweiten Buchstaben?

Fabian: Genau, ja, auf jeden Fall.

Keno: Und warum sind das sechs unterschiedliche Textfelder, die du da hast? Das sind jetzt die unterschiedlichen Nachrichten-IDs. Also Nachricht-ID Nummer 0 war der auto-generierte Text von heute Morgen oder letzten Freitag war das, genau. Ah ja, so, jetzt sieht es doch gut aus. Also okay, die Backspaces sind so gekennzeichnet und genau, wir haben hier ein Fragezeichen. Also das ist auf jeden Fall der Satz und die Fragezeichen bedeuten, dass da noch was kommt, im besten Fall. Genau, da fehlt jetzt noch was. Wir können auch mal einmal kurz hier in den Konsolen-Output reinschauen. Also das sind Klammern hier, Klammer 1, Klammer 2, das bedeutet praktisch, wie viele Pings haben wir für dieses Byte. Also wie oft hat ein iPhone oder wie viele unterschiedliche Geräte haben das inzwischen weitergeleitet. Und wir sehen, für viele davon haben wir erst eins. Und wenn wir jetzt nochmal auf “Reload Message” klicken… Ah, okay, c’t 3003.

Keno: Ja, sehr gut. Und das nächste Wort kannst du dir wahrscheinlich auch herleiten.

Fabian: Der hat, aber nur 992. Also viel mehr ist das auch nicht. Ah, ich war doch kurz auf eurem YouTube-Channel. 992.000x Subscriber. Genau. Abonnenten.

Keno: Ja, "Abos" habe ich getippt.

Fabian: Ja, da kommt dann das Reverse Engineering ins Spiel.

Keno: Ja, aber ich würde sagen, das reicht uns dann doch schon, oder? Hast du eine Erklärung dafür, warum Apple das so verzögert oft.

Fabian: Ja, ich könnte euch theoretisch da eigentlich auch Daten liefern, anhand von einer ziemlich großen Datenmenge, wie lange praktisch immer die Latenz ist. Und es gibt auf jeden Fall Situationen, wo iPhones innerhalb der ersten Minute praktisch weiterleiten, die Location. Aber eben teilweise auch bis zu einer Stunde, mit bis zu einer Stunde Verzögerung. Und ich glaube, der Hauptgrund ist, die Akkulaufzeit zu erhöhen und Batterie zu sparen.

Moin, hier ist Sahin aus dem Schnitt. Da das Übertragen der Nachricht noch eine Weile gedauert hat, hat uns Fabian dann ein paar Stunden später noch das Endergebnis geschickt. Hier fehlt nur noch das O, aber ansonsten ist alles angekommen, inklusive der Vertipper von Keno.

Keno: So jetzt mal ganz kurz nochmal die vereinfachte technische Erklärung, wie das Ganze funktioniert: Der Keylogger in der manipulierten Tastatur sendet über Bluetooth permanent Signale aus, die Apple-Geräte, also iPhones, iPads oder MacBooks, in der Nähe auffangen und an Apple schicken. Eigentlich ist das Ganze zum Finden von Dingen gedacht, wir haben ja neulich erst ein Video gemacht, wie ich mein mit einem Airtag versehene Fahrrad im Wald wieder gefunden habe. Man kann das zugrundeliegende Wo-Ist-Netzwerk aber eben auch so verwenden, wie es nicht von Apple vorgesehen ist, nämlich um beliebige Daten zu verschicken – wie alle Tastendrücke unserer manipulierten Tastatur. Standardmäßig sind alle aktuellen Apple-Geräte so eingestellt, dass sie diese Wo-Ist-Daten auffangen und versenden, man kann es aber manuell deaktivieren; unter iOS zum Beispiel auf Einstellungen / auf den eigenen Namen / Wo ist? / Mein iPhone suchen und da dann “Wo-ist?-Netzwerk” abschalten. Wenn ihr Details dazu wissen wollt: Ich habe euch den c’t-Artikel dazu in der Beschreibung verlinkt.

Keno: Sag nochmal einmal ganz kurz, was ist da jetzt drin? Wir haben jetzt gesagt, wir benutzen das Wo-ist-Netzwerk. Was ist da jetzt genau drin? Was macht diese Tastatur jetzt genau?

Ronald: Die Tastatur ist mit einem Keylogger ausgestattet. Das ist so ein kleines Modul. Normalerweise steckt man das zwischen USB-Kabel und Rechner. Wie so ein Zwischenstecker, fällt halt auch keinem auf, insbesondere wenn es hinten am Rechner ist. Da guckt man eh nicht hin. Der Keylogger ist jetzt hier aber eingebaut. Der sitzt in dem Gehäuse mit drin. Da ist relativ viel Platz drin, weil diese Tastaturelektronik, das ist so weit miniaturisiert, dass man da einfach Luft hat, um noch einen Keylogger einzubauen. Und der sitzt quasi jetzt zwischen dem, was die Tastatur macht. Also wenn du drauf tippst, das geht erstmal an den Keylogger und von da geht es dann weiter an den Rechner.

Und der Keylogger hat jetzt noch ein paar Extras. Zum einen, da ist ein ESP32 drauf, der Bluetooth und WLAN hat. Und der nutzt das, um sich quasi wie so ein AirTag zu verhalten und sendet ganz viele Pakete durch die Luft. Und die werden von iPhones aufgefangen und an das Apple-Wo-ist-Netz weitergereicht.

Keno: Hier bei der Tastatur würde es jetzt auch zum Beispiel reichen, wenn einfach im Nebenraum oder so jemand vorbeiläuft. Oder sogar auf der Straße wahrscheinlich, oder?

Ronald: Es reicht vor allen Dingen auch, wenn das irgendwann passiert, weil die Tastatur sendet ja in so einem Loop die ganze Zeit. Und wenn dann irgendwann mal ein iPhone oder was ähnliches vorbeikommt und die Daten abholt, reicht das schon aus, um die Daten zu übertragen.

Keno: Was ist denn jetzt der Vorteil, statt WLAN das Wo-ist-Netzwerk zu verwenden?

Ronald: Den kann man über WLAN verbinden. Es gibt auch diverse andere Keylogger mit WLAN. Das Problem ist immer, du brauchst natürlich erstmal ein WLAN, um das Gerät zu verbinden. Und im Zweifel, wenn es jetzt ein echter Spionageangriff wäre, ist das natürlich auffällig, wenn dann plötzlich sich ein Gerät über WLAN mit dem vorhandenen Netz, mit dem Firmennetz zum Beispiel, verbindet. Das fällt in Unternehmensnetzen recht schnell auf. Die Alternative wäre, dass der Keylogger selber einen Accesspoint aufspannt. Auch das ist sichtbar.

Es gibt Monitoringlösungen, Nzyme zum Beispiel, die WLAN-Netze erkennen.

Keno: Genau, das ist das Ding, dass wenn man das über WLAN abschnorcheln würde, dann würde das eher auffallen. Was hat man denn für Möglichkeiten, wenn man Angst hat, dass man eine Tastatur untergejubelt bekommt oder dass irgendwer mit dem Wo-ist-Netzwerk Schindluder treibt? Kann ich das irgendwie sehen, dass da das Wo-ist-Netzwerk missbraucht wird, um solche Dinge zu tun?

Ronald: Ist in der Tat schwierig. Anders als WLAN sind diese Bluetooth-Pakete kaum sichtbar. Die werden nicht irgendwo angezeigt, standardmäßig. Man kann probieren, mit so BLE-Scanner-Apps nach diesen Paketen zu gucken. Das klappt ganz gut mit Android zum Beispiel oder auch mit Windows. Mit Linux geht das auch. Ausgerechnet mit den Apple-Betriebssystemen allerdings nicht, weil die nicht die Absender-Megadressen der Bluetooth-Pakete anzeigen. Auf Android-Geräten sieht man dann ein Apple-Device, was da nicht hingehört, was dann immer irgendwas sendet.

Keno: Genau, da tauchen ganz viele Apple-Devices auf.

Ronald: Man sieht, dass die Absender-Megadressen in unserem Fall relativ ähnlich sind. Das hat mit dem Codierungsverfahren zu tun, wie diese Daten in die Pakete eingebaut werden. Da kann man schon ein bisschen drauf kommen, wenn man nachguckt. Aber man muss danach scannen. Das ist eben auch nur eine Momentaufnahme, weil die Tastatur oder andere Geräte, wo so etwas eingebaut ist, müssen ja jetzt gerade gar nichts senden. Die können auch erst mal zwei, drei Tage Daten sammeln und dann plötzlich anfangen, die halt rauszusenden. Okay, also man kann jetzt zum Beispiel ein Android-Handy nehmen, dann den BLE-Scanner, das heißt, das ist eine kostenlose App. Und wenn man dann ganz viele Apple-Devices sieht, die mit unterschiedlichen Megadressen irgendwas machen, dann sollte man zumindest hellhörig werden, sozusagen. Da lohnt es sich dann schon mal genauer hinzugucken. Es können natürlich auch AirTags sein oder sowas.

Keno: Aber dann wahrscheinlich nicht so viele, oder? Ja, eher unwahrscheinlich. Bei uns ist es halt noch recht gut erkennbar, weil das Verfahren relativ simpel ist. Es ist halt vorhersehbar, dass die Megadressen sehr ähnlich sind, nur die letzten Ziffern ändern sich. Ein echter Angreifer kann aber auch mit beliebigen Absender-Megadressen arbeiten. Also da kann es sehr gut sein, dass die komplett unterschiedlich sind, dass man sie halt nicht mit dem bloßen Auge erkennt. Da könnte man dann wieder über die schiere Anzahl gehen. Also wenn da jetzt zum Beispiel 20, 30 Geräte auftauchen, plötzlich ist wahrscheinlich irgendwas im Busch. Wobei auch da wieder so eine Tastatur kann eben auch beliebig lange warten mit den einzelnen Paketen. Das kann sein, dass es nur ein Paket alle zehn Minuten verschickt und dann nach zwei, drei Tagen doch das Passwort übertragen ist. Das macht es halt so schwierig. Und ja, die ganzen Warnfunktionen, die es ja gibt, Android macht das, die ganzen Apple-Geräte warnen ja auch, wenn man von so einem AirTag längere Zeit begleitet wird, der einem nicht gehört. Die springen halt nicht an.

Keno: Ja genau, das habe ich auch ausprobiert. Also ich habe mit meinem iPhone in der Wo-ist-App, da kann man ja nach AirTags suchen, ist da nicht aufgetaucht. Ja, danke Ronald. Schön, dass du uns das erklärt hast.

Mein Fazit

Also, ich finde das auf einer technischen Ebene einigermaßen faszinierend, dass das tatsächlich geht, also das Wo-Ist-Netzwerk so zu hacken, dass man es für andere Dinge nutzen kann als nur zur Positionsübertragung. Und natürlich birgt das hier beschriebene Szenario auch ein wenig Gefährdungspotenzial: Schließlich musste man für bisherige Keylogger entweder die Software manipulieren, die auf dem Rechner läuft, an den die Tastatur angeschlossen ist. Oder man musste eine andere Datenübertragungsmethode nutzen, zum Beispiel WLAN. Und fremde WLAN-Geräte im eigenen WLAN-Netz lassen sich einigermaßen gut aufspüren, auch automatisiert, zum Beispiel mit Nzyme. Bei Bluetooth ist das eben nicht ganz so einfach. Aber ganz klar: Man muss jetzt auch nicht in Panik verfallen. Nur es ist auf jeden Fall sinnvoll, dass man sich darüber im klaren ist, dass solche Angriffsszenarien möglich sind; denn nur so kann man verhindern, dass man einem solchen Angriff zum Opfer fällt. Oder? Wie seht ihr das? Gerne in die Kommentare schreiben! Tschüss!

---

c't 3003 ist der YouTube-Channel von c't. Die Videos auf c’t 3003 sind eigenständige Inhalte und unabhängig von den Artikeln im c’t Magazin. Die Redakteure Jan-Keno Janssen und Lukas Rumpler sowie die Video-Producer Şahin Erengil und Pascal Schewe veröffentlichen jede Woche ein Video.

(jkj)