2583207

Sicherheitslücke bei Airdrop: Kontaktdaten gefährdet

26.04.2021 | 14:39 Uhr | Stephan Wiesend

Forscher der TU Darmstadt haben eine Schwachstelle in Airdrop festgestellt, die sich aber mit einem alternativen Protokoll beheben lässt.

Wollen zwei Apple-Nutzer Daten austauschen, ist Airdrop sehr praktisch: Drahtlos kann man auch größere Videos oder ganze Fotosammlungen übertragen, einfach und schnell. Immer wieder hat sich gezeigt, dass Apples zugrundeliegende Technologie AWDL aber nicht die sicherste ist. Apple hatte das Protokoll in den letzten Jahren immer wieder überarbeitet, es sind aber immer wieder neue Sicherheitslücken aufgetaucht, über einige Schwachstellen im Schutz der Nutzerdaten hatten wir bereits berichtet . Wie jetzt Forscher der Technischen Universität Darmstadt, die damals diese Schwachstellen aufzeigten, könnte ein Angreifer per Airdrop etwa die Telefonnummer und E-Mail-Adresse eines Nutzers ermitteln – sobald diese die Teilen-Funktion nutzen. In einem Versuch wurde dies nun erstmals nachgewiesen und eine Alternative zu Airdrop vorgestellt .

Datentausch nur mit Bekannten

Der Hintergrund ist die Methode, mit der sich zwei Apple-Geräte untereinander verbinden. Als Standard ist bei den meisten Geräten nämlich eingestellt, dass Airdrop nur zwischen miteinander bekannten Nutzern funktioniert. Vor der Verbindungsaufnahme überprüft Airdrop deshalb, ob der andere Nutzer im Adressbuch des eigenen Gerätes eingetragen ist. Um dies zu ermöglichen, wird von beiden Geräten die Telefonnummer und E-Mail-Adresse gesendet. Das Empfangsgerät überprüft dann das Adressbuch nach einer der beiden Daten und erlaubt die Verbindungsaufnahme.

Wie die Forscher feststellten, wird dabei eine verschlüsselte Version dieser Kontaktdaten übertragen, ein sogenanntes Hashing. Wird nun in der Umgebung – etwa einem Café – diese Übertragung per Wi-Fi aufgezeichnet, könnten diese privaten Daten per Brute-Force-Angriff entschlüsselt werden. Vor allem bei Telefonnummern soll dies relativ einfach sein, bei E-Mail-Adressen sei dies aufwendiger aber ebenfalls möglich – etwa durch Nutzung von E-Mail-Datenbanken. Grundsätzlich sei dieses Hashing – das Verschlüsseln von persönlichen Daten, zu unsicher. Als Alternative schlagen die Forscher deshalb ein alternatives Anmeldeverfahren vor, das sie Private Drop nennen. Dieses verwendet nach dem Prinzip des „Private Set Intersection“ für die Authentifizierung nur Schnittmengen vertraulicher Datensätze. Auch die Performance soll durch diese Technologie nicht beeinträchtigt werden.

Laut Forschern habe man Apple schon Mai 2019 von dieser Sicherheitslücke informiert, aber bisher keine Antwort erhalten. Um sich zu schützen wird deshalb empfohlen, auf Airdrop zu verzichten. Alle Forschungsergebnisse wurden in einem Fachartikel veröffentlicht , im August werden die Ergebnisse auf dem USENIX Security Symposium präsentiert.

Unsere Meinung:

Apples Airdrop ist schon oft kritisiert worden, offensichtlich legt Apple hier den Fokus mehr auf Komfort als auf Sicherheit. Auf Airdrop komplett zu verzichten ist aber nach unserer Einschätzung etwas übertrieben. Auch Apple scheint die Gefährdung als gering einzuschätzen. Für Privatanwender ist die Gefahr vermutlich begrenzt, in sicherheitskritischen Bereichen sollte man allerdings auf Airdrop lieber verzichten und Daten auf eine andere Methode übertragen.

Macwelt Marktplatz

2583207