Aktuelle
Meldungen

Apple AirDrop teilt nicht nur Dateien

29.04.2021

ATHENE-Wissenschaftler*innen entdecken Datenschutzlücke bei Apple-Filesharing-Funktion

ATHENE-Wissenschaftler*innen der TU Darmstadt haben herausgefunden, dass Apple-User mittels AirDrop nicht nur Dateien mit­ei­nan­der teilen können. Vielmehr können auch ungebetene Personen Daten abgreifen. Die Wissenschaftler*innen entwickelten eine Lösung, die das unsichere AirDrop ersetzen könnte. Apple wurde über die Datenschutzlücke informiert, hat sie bisher jedoch noch nicht geschlossen.

Schnappschüsse, Präsentationen, Videos – solche Dateien können Nutzer*innen von iPhones und MacBooks bequem mit­ei­nan­der teilen. Möglich macht es die Funktion AirDrop, mit der Dateien direkt von einem Apple-Gerät zum anderen gesendet werden können. Da vertrauliche Dateien im Regelfall nur an bekannte Personen weitergegeben werden sollen, zeigt AirDrop standardmäßig nur Empfängergeräte von Adressbuchkontakten an. Um festzustellen, ob die andere Partei ein Kontakt ist, verwendet AirDrop ein Authentifizierungsverfahren, das die eigenen Kontaktdaten mit den Einträgen im Adressbuch des anderen Geräts abgleicht.

Die von den ATHENE-Wissenschaftlern Prof. Matthias Hollick und Prof. Thomas Schneider geleiteten Forschungsgruppen haben dieses Verfahren genauer untersucht und ein gravierendes Datenschutzproblem gefunden.

Angreifer können Telefonnummern und E-Mail-Adressen von Apple-Nutzenden abgreifen – ohne jegliches Vorwissen über ihre Opfer. Der Angriff benötigt lediglich ein Wi-Fi-fähiges Gerät und die physische Nähe zu Personen mit Apple-Geräten. Sobald eine Person das ,Teilen‘-Menü öffnet, wird der Erkennungsprozess auf dem Apple-Gerät initiiert und der Angreifer kann sich „einklinken“.

Die entdeckte Datenschutzlücke ist auf die Verwendung von sogenannten Hash-Funktionen zurückzuführen, die Apple nutzt, um Kontaktdaten während der Authentifizierung zu „verschleiern“. Dass das Austauschen von gehashten Telefonnummern unsicher ist, da sie mithilfe von beispielsweise Brute-Force-Angriffen schnell zurückgerechnet werden können, haben die Wissenschaftler vor wenigen Monaten bereits nachgewiesen (Meldung der TU Darmstadt).

Die Wissenschaftler*innen entwickelten außerdem eine praktikable Lösung, die das unsichere AirDrop ersetzen könnte. PrivateDrop basiert auf kryptographischen Protokollen für ,Private Set Intersection‘, also zur sicheren Berechnung einer Schnittmenge aus vertraulichen Datensätzen. Mit dieser Methode kann die gegenseitige Authentifizierung durchgeführt werden, ohne angreifbare Hash-Werte austauschen zu müssen. PrivateDrop wurde von den Forschern zu Testzwecken auf Apple-Geräten implementiert. Messungen zeigen, dass die Performance mit der des unsicheren AirDrop konkurrieren kann: Die benötigte Zeit für die Authentifizierung liegt weit unter einer Sekunde.

Bereits im Mai 2019 informierten die Forschenden den Apple-Konzern über die gefundene Datenschutzlücke. Bisher hat Apple die Datenschutzlücke weder bestätigt noch angekündigt, an einer Lösung zu arbeiten, sodass die Nutzenden von mehr als 1,5 Milliarden Apple-Geräten weiterhin anfällig sind. Die einzige Möglichkeit sich zu schützen besteht derzeit darin, die AirDrop-Erkennung in den Systemeinstellungen zu deaktivieren und das ,Teilen‘-Menü nicht zu öffnen.

Die For­schungsergebnisse wurden in dem wissenschaftlichen Artikel "PrivateDrop: Practical Privacy-Preserving Authentication for Apple AirDrop" veröffentlicht, der im August auf dem renommierten USENIX Security Symposium präsentiert wird.

Meldung der TU Darmstadt mit weiteren Veröffentlichungen zu dem Thema.

Zur News-Übersicht