AirDrop-Sicherheitslücke erlaubt Auslesen von Kontaktdaten

Apples Sharing-Technologie AirDrop hat eine Sicherheitslücke, wie Sicherheitsforscher der TU Darmstadt herausgefunden haben. Um die Lücke auszunutzen, benötigt man bloß ein WLAN-fähiges Gerät und physische Nähe zum Mobilgerät eines Angriffsziels. Die Lücke besteht im Abgleichmechanismus, mit dem AirDrop feststellt, ob ein neu erkanntes Gerät einem Bekannten des Nutzers gehört. Dabei werden Kontakte aus dem Adressbuch abgeglichen.

Hashwerte lesbar machen

Apple verwendet beim Abgleich zwar lediglich Hashwerte der Adressbucheinträge, diese können aber mit Leichtigkeit in lesbare Daten umgewandelt werden, erklären die Forscher. Als Angreifer habe man damit Zugriff zu Telefonnummern und E-Mail-Adressen aus dem Adressbuch eines iOS-Geräts, bei dem AirDrop auf die werksseitig gewählte Option "nur Kontakte" eingestellt ist.

Apple ignorant

Die Sicherheitsforscher haben Apple laut eigenen Angaben bereits im Mai 2019 auf die Lücke hingewiesen. Apple hat angeblich nicht eingesehen, dass es sich dabei um ein Problem handelt und hat auch nicht angedeutet, an einer Lösung zu arbeiten. Für die Forscher der TU Darmstadt bedeutet das, dass 1,5 Milliarden Apple-Geräte die Sicherheitslücke immer noch aufweisen.

Dick Pics

Laut Mashable ist dieses nicht das erste Problem von AirDrop. Die Sharing-Technologie wurde in der Vergangenheit auch immer wieder für "Cyber-Flashing" verwendet. Fremde haben damit etwa Bilder oder Botschaften auf fremde iOS-Geräte geladen. So landeten etwa Penis-Bilder oder rassistische Botschaften fremder Personen auf Geräten, die den Empfang von unbekannten Kontakten zuließen.