Sicherheitsforscher, die das „Find My“-Netzwerk untersuchen, das unter Anderem von Apples AirTags verwendet wird, konnten das System austricksen, um Daten zu senden, die Apple weder überwachen noch, anscheinend, verhindern kann.
Es handelt sich weder um etwas, das leicht zu reproduzieren ist, noch um etwas, das bedeuten könnte, dass AirTags-Benutzer Probleme mit Malware haben. Allerdings ist es Berichten zufolge möglich, das „Find My“-Netzwerk zu unterwandern, um verschlüsselte Nachrichten zwischen Geräten zu senden, wenn auch nur sehr kurze. Laut der in Berlin ansässigen IT-Sicherheitsfirma Positive Security ist es möglich, beliebige Daten von nicht mit dem Internet verbundenen Geräten hochzuladen, indem Find My-ähnliche Broadcasts gesendet werden. Diese werden dann von Apple-Geräten aufgefangen, so wie ein verlorener AirTag vorbeigehende iPhones nutzt, um seinen Standort zu melden. So schreibt Fabian Braunlein in einem Blog-Beitrag:
Während ich hauptsächlich nur neugierig war, ob es möglich sein würde, könnte ich mir vorstellen, dass der häufigste Anwendungsfall das Hochladen von Sensormesswerten oder anderen Daten von IoT-Geräten ohne Breitbandmodem, SIM-Karte, Datenplan oder Wi-Fi-Verbindung ist.
Apple: Nutzer können maximal 16 AirTags pro Apple ID registrieren
Theoretisch könnte also ein korrekt konfiguriertes Gerät ein Bluetooth LE-Signal aussenden, so wie es AirTags tun. Wenn dann ein Apple-Gerät in der Nähe ist, registriert dieses Gerät das Signal und leitet es weiter.
Da Amazon ein ähnliches Netzwerk namens Sidewalk betreibt, das Echo-Geräte nutzt, könnte es sehr wohl eine Nachfrage dafür geben. Da die Finding-Geräte empfangene Sendungen zwischenspeichern, bis sie eine Internetverbindung haben, können die Sensoren sogar Daten aus Gebieten ohne Mobilfunkabdeckung aussenden, solange Menschen das Gebiet passieren.
Noch unheimlicher ist, dass Braunlein postuliert, dass dies genutzt werden könnte, um „Daten aus bestimmten luftgekapselten Systemen oder Räumen mit Faraday-Käfigen zu exfiltrieren.“ Geräte in solchen Räumen sind zwar vom Internet abgeschottet, könnten aber durchaus Daten an ein iPhone eines vorbeigehenden Besuchers weitergeben. Eine allgemeinere Erkenntnis ist, dass es laut Positive Security keinen technischen Grund zu geben scheint, warum Benutzer nur eine begrenzte Anzahl von AirTags haben können. Apple zufolge können maximal 16 AirTags pro Apple ID registriert werden. Doch Braunlein sagt, dass die Beschränkung scheinbar nicht durchgesetzt werden kann. (Photo by hadrian / Bigstockphoto)
