2614188

Warnung: Verlorene Airtags lassen sich von Phishern manipulieren

29.09.2021 | 09:40 Uhr | Peter Müller

Wer einen Airtag findet, kann das anonym melden. Das weiß nicht jeder, was Phisher ausnutzen können.

Hat jemand einen Airtag verloren, können die Finder mithilfe ihres iPhones auf eine Website gelangen, auf der sie Kontaktinfornationen des Besitzers wie E-Mail-Adresse oder Telefonnummer erhalten. Um auf den Verlust aufmerksam zu machen, muss der Finder keine eigenen persönlichen Daten angeben, das ist Sinn und Zweck des Systems. Der Finder erhält einen Link auf https://found.apple.com, unter dem alles Weitere zu erledigen ist, völlig anonym.

Airtag gefunden: Was tun?

Wie KrebsOnSecurity aber berichtet, lassen sich Airtags so manipulieren, dass sie arglose Finder täuschen und sie auf eine gefälschte Website locken, auf der sie ihre iCloud-Daten eingeben sollen und so den Kriminellen übergeben. Auch die Weiterleitung auf andere bösartige Websites ist mit einer Manipulation im Feld für die Telefonnummer möglich.

Der Sicherheitsforscher Bobby Raunch, der die Lücke entdeckt hat, erklärte gegenüber KrebsOnSecurity die Gefährlichkeit der Lücke: "Ich kann mich an keinen anderen Fall erinnern, in dem so kleine, preisgünstige Ortungsgeräte für Verbraucher als Waffe eingesetzt werden konnten".

Apple reagiert zögerlich – mal wieder

Apple sei seit Mitte Juni informiert und habe die Lücke seither untersucht. Ein versprochenes Update zum Lückenschluss ist aber immer noch nicht veröffentlicht. Das erinnert an den Fall der vom Sicherheitsexperten Denis Tokarev entdeckten und an Apple  berichtete Lücken, die das Unternehmen immer noch nicht geschlossen hat . In einer Mail hat sich laut Motherboard Apple für bislang ausstehende Antworten bei Tokarev entschuldigt und das lange Schweigen damit begründet, dass man die Lücken nach wie vor untersuche, um den bestmöglichen Schutz für die Anwender zu finden. Die von Tokarev entdeckten Lücken sind nicht hochkritisch, um sie auszunutzen, bräuchte man eine App, welche bei der Zulassungsprüfung nicht als Malware entdeckt wurde. Da Apple seit dem Frühjahr die Lücken bekannt sind, ist ein solches Szenario zumindest unwahrscheinlich – Tokarev hätte die gemäß Apples Bounty-Programm ausgelobte Belohnung aber redlich verdient.

In Sachen verlorener und womöglich manipulierter Airtags gilt also stets die Warnung: Niemals persönliche Daten preisgeben, die Kontaktaufnahme zu den Besitzern der Tracker geschieht völlig anonym.

Macwelt Marktplatz

2614188