Millionen AirPlay-Geräte können per WLAN gehackt werden

Dank Apple AirPlay kann man drahtlos Musik oder Videos vom iPhone oder Macbook auf Apple-eigenen oder Geräten von Drittanbietern abspielen. Dazu gehören etwa Lautsprecher oder smarten Fernseher. 

Forscher der israelischen Sicherheitsfirma Oligo haben kürzlich eine ganze Reihe an Bugs in AirPlay gefunden. Diese ermöglichen, schadhaften Code innerhalb eines WLAN-Netzwerks zu verbreiten, das berichtet Wired.

Um die Sicherheitslücken, von den Forschern AirBorne betitelt, auszunutzen, muss ein Angreifer mit demselben WLAN verbunden sein, wie die Geräte mit AirPlay-Unterstützung. Wenn sich also ein Angreifer in ein Heimnetzwerk hackt, oder sein eigenes Gerät schlicht im selben öffentlichen Netzwerk, z.B. in einem Café, nutzt, kann dieser das AirPlay-Drittgerät übernehmen.

Bot-Netzwerke und Ransomware

AirPlay ist Apples proprietäres Protokoll für lokale drahtlose Verbindungen. Die Sicherheitslücken finden sich in dessen Software Development Kit (SDK) für Geräte von Drittanbietern. Ob diese nun Patches zur Verfügung stellen, liegt daher außerhalb der Kontrolle von Apple.

➤ Mehr lesen: EU will Apple zwingen, AirDrop und AirPlay für Android zu öffnen

Gelingt es einem Angreifer, sich durch den Bug Kontrolle über ein AirPlay-fähiges Gerät zu verschaffen, kann dieses als verdeckter Zugangspunkt für andere Geräte im Netzwerk genutzt werden. Weiters ist es möglich, dass die Geräte zu einem Bot-Netzwerk hinzugefügt werden, oder Ransomware installiert wird.

Oligo streicht hervor, dass viele der betroffenen Geräte Mikrofone enthalten. Das heißt, sie könnten theoretisch auch zum Abhören genutzt werden.

CarPlay ebenfalls betroffen

Die AirBorne-Sicherheitslücken betreffen außerdem CarPlay, heißt es seitens Oligo. Diese Software ermöglicht es, ein iPhone mit dem Auto zu verbinden, zum Beispiel um Wegbeschreibungen anzuzeigen oder Musik abzuspielen.

Im schlimmsten Fall könnte ein Angreifer darüber den Bordcomputer von über 800 Automodellen übernehmen. Das ermöglicht etwa, den Fahrer mit Musik oder Bildern abzulenken oder den Standort des Fahrzeugs zu tracken. Allerdings sei dafür eine Bluetooth- oder USB-Verbindung mit dem Auto nötig. Die Gefahr, dass das eigene Fahrzeug gehackt wird, ist dadurch geringer.

Sicherheitsupdates für Smart-Home-Geräte selten

Ursprünglich waren auch Apple-Geräte selbst von AirBorne betroffen. In den vergangenen Monaten wurden die entsprechenden Sicherheitslücken jedoch in Updates geschlossen, so das Unternehmen.

➤ Mehr lesen: Gravierende Sicherheitslücke in Apples Passwort-App aufgedeckt

AirPlay-fähige Smart-Home-Geräte von Drittanbietern – von denen es weltweit dutzende Millionen geben soll – bekommen Gegensatz dazu weit seltener Sicherheitsupdates. Selbst wenn diese verfügbar seien, würden viele Menschen ihre Lautsprecher, Fernseher und Ähnliches nie updaten, berichten die Forscher. Deshalb sei es gut möglich, dass die Sicherheitslücken noch jahrelang bestehen werden.