1. Futurezone
    2. >
  2. Digital Life
    3. >
  3. Apple: Experten entdecken gravierende Sicherheitslücke – „verwandelt Geräte in Airtags, ohne dass du es merkst“
Veröffentlicht inDigital Life

Apple: Experten entdecken gravierende Sicherheitslücke – „verwandelt Geräte in Airtags, ohne dass du es merkst“

Avatar photovon Ole Wetjen

Sicherheitsexpert*innen haben eine Lücke in einem Ortungsdienst entdeckt – und das schon letztes Jahr. Apples einzige Reaktion: Ein Dank an die Forschenden.

Person tippt an einem Apple-Laptop. Über dem Bildschirm schwebt ein blaues Warnschild.
© janews094 - stock.adobe.com

Damals bis heute: Die Geschichte des iPhones

Das iPhone ist weit mehr als nur ein Telefon – eine Reise von der ersten Generation bis heute.

Apple steht erneut in der Kritik: Sicherheitsforscher*innen haben eine gravierende Schwachstelle im „Wo ist?“-Netzwerk entdeckt. Die Lücke ermöglicht es Hacker*innen, fremde Geräte unbemerkt in Peilsender zu verwandeln – ganz, ohne dass es irgendeine Bestätigung der Nutzer*innen bedarf. Dabei muss die oder der Angreifende nicht mal in der Nähe sein, sondern kann aus großer Entfernung zuschlagen.

Apple-Nutzer*innen können heimlich geortet werden

Forscher*innen der George Mason University fanden nämlich heraus, dass Apples „Wo ist?“-Netzwerk nicht nur für das Wiederfinden verlorener Geräte genutzt werden kann. Mit einer speziellen Angriffsmethode, genannt „nRootTag“, lassen sich Bluetooth-fähige Geräte wie Smartphones, Laptops oder sogar Smart-TVs unbemerkt in einen Apple AirTag verwandeln.

„Es ist, als würde man jeden Laptop, jedes Telefon oder sogar jede Spielkonsole in einen Apple AirTag verwandeln – ohne dass der Besitzer es jemals merkt“, warnt der Sicherheitsforscher Junming Chen in einer Mitteilung der George Mason Universität in Virginia, USA.

Denn Apples „Wo ist?“-Funktion basiert darauf, dass Bluetooth-fähige Geräte ihre Signale an Apple-Geräte in der Nähe senden. Diese Geräte übermitteln dann den Standort anonym an Apples Server, damit die Besitzer*innen das verlorene Gerät orten können. Die Sicherheitsforscher*innen fanden jedoch heraus, dass sich dieses System auch täuschen lässt.

Statt die Bluetooth-Adresse eines Geräts zu manipulieren, haben sie dafür eine Technik entwickelt, die passende kryptografische Schlüssel ermittelt. Damit kann das Find-My-Netzwerk dann glauben, es handele sich um einen AirTag – und beginnt, den Standort des Geräts weiterzugeben.

Lesetipp: iPhone-Funktion stellt Trump bloß – Apple in Erklärungsnot

Standorte lassen sich auf wenige Meter genau bestimmen

In Tests konnten die Forscher*innen dabei etwa die genaue Route eines E-Bikes nachverfolgen, auf dem sich ein getrackter Laptop befand. Selbst die Flugroute einer Spielkonsole an Bord eines Flugzeugs ließ sich rekonstruieren.

„Es ist zwar beängstigend, wenn Ihr Smart Lock gehackt wird, aber es wird noch viel schrecklicher, wenn der Angreifer auch seinen Standort kennt. Mit der von uns vorgestellten Angriffsmethode kann der Angreifer dies erreichen“, erklärt Studienleiter Qiang Zeng. Die Erfolgsquote der Methode liegt laut den Forscher*innen dabei bei rund 90 Prozent.

Auch interessant: Neues iPhone: Dieses spürbare Problem soll es lösen

Apple wusste seit Monaten Bescheid

Besonders brisant: Apple wurde bereits im Juli 2024 über die Sicherheitslücke informiert, doch bis heute gibt es keine endgültige Lösung. Zwar hat Apple die Schwachstelle mittlerweile anerkannt, einen wirksamer Schutz gegen den Angriff scheint es jedoch noch nicht zu geben. Die einzige Reaktion: In einer Sicherheitsmeldung dankte der Konzern den Forschenden.

Bis Apple eine dauerhafte Lösung bietet, bleibt Nutzer*innen nur, selbst aktiv zu werden, wie t3n berichtet. Expert*innen raten dazu, Bluetooth nur dann zu aktivieren, wenn es wirklich benötigt wird. Zudem sollten Apps mit unnötigen Bluetooth-Berechtigungen vermieden werden. Das regelmäßige Installieren von Software-Updates kann ebenfalls dazu beitragen, das Risiko zu verringern. Die vollständigen Ergebnisse der Sicherheitsstudie werden im August auf dem renommierten Usenix Security Symposium in Seattle vorgestellt.

Quelle: George Mason Universität, Apple, t3n

Seit dem 24. Februar 2022 herrscht Krieg in der Ukraine. Hier kannst du den Betroffenen helfen.

Du willst mehr von uns lesen? Folge uns auf Google News.