2024 / Unkategorisiert

Versteckte Gefahren: Datenschutzrisiken im Wo ist? Netzwerk von Apple

Mit dem Service von Wo ist? ermöglicht Apple seinen Kunden eigentlich nur die genaue Ortung ihrer eigenen Geräte. Wann immer das iPhone also verschwindet, finden Sie es über die Wo ist? App auf dem Mac schnell wieder oder können sich den aktuellen Standort alternativ im Internet genauer ansehen. Verlieren können Sie ein Apple-Gerät prinzipiell also gar nicht und wird es gestohlen, markieren Sie es in Wo ist? einfach entsprechend, was auf dem Gerät eine Sperrung verursacht oder es sogar ferngesteuert löscht und vollständig zurücksetzt. Das alles ist schon ziemlich praktisch, gerade dann, wenn sensible Daten auf dem Gerät gespeichert wurden.

Dumm nur, wenn ausgerechnet diese App, die dem Anwender Sicherheit in Bezug auf seine Apple-Geräte verspricht, missbraucht werden kann, um ebendiese sensiblen Daten zu stehlen. Genau das scheint nämlich der Fall zu sein, wie erst kürzlich wieder berichtet wurde. Eine große Sache, da Wo ist? nicht nur auf den meisten Apple-Geräten standardmäßig aktiviert ist, sondern von den Nutzern auch besonders gerne verwendet wird.

Zeit also, sich mit diesem Thema einmal näher zu beschäftigen und anzusehen, was dran ist an der Sicherheitslücke. Ist diese wirklich vorhanden und wenn ja, ist sie so einfach und massiv auszunutzen, wie es den Anschein macht. Genau das werden wir nun herausfinden.

Wie Apples Ortungsdienst Wo ist? funktioniert

Das Besondere an Wo ist? von Apple scheint zu sein, dass der Service auch dann noch funktioniert, wenn die Geräte komplett offline oder sogar ausgeschaltet sind. Dazu verwendet der Dienst ein Netz aus anderen Apple-Geräten. Es ist also immer möglich, das eigene Gerät zu orten, auch wenn ein potenzieller Dieb selbiges beispielsweise bereits ausgeschaltet hat. 

Apple nutzt für die Funktion einen Kniff. Dieser basiert darauf, dass Geräte, die über Wo ist? aktiviert wurden, via Bluetooth miteinander kommunizieren dürfen. Auf diese Weise werden alle Geräte immer Teil eines großen Netzwerkes, welches permanent miteinander verbunden bleibt. Das vermeintlich ausgeschaltete Gerät sendet dann Daten via Bluetooth an ein anderes und überträgt diese Daten an Apple, wenngleich es weiterhin offline oder ausgeschaltet erscheint. Für die Übertragung wird nämlich einfach eines der anderen Geräte in der Umgebung genutzt, auf die die Standortdaten etc. übertragen werden.

In der Nähe befindliche Apple-Geräte werden somit Teil eines großen Wo ist? Netzwerkes, welches wiederum die notwendigen iCloud-Daten sammelt und so für alle Geräte jederzeit aufzeigen kann, wo sich diese gerade befinden. Eigentlich eine einfache, wie auch geniale Idee, die sich als hervorragend funktionierende Lösung etabliert hat. Wie übrigens auch jeder weiß, der schon einmal sein iPhone verloren hat.

Sicherheitsprobleme bei Wo ist?

Nun wurde allerdings bekannt, dass sich die Ortungsfunktion auf Apple-Geräten auch sehr massiv ausnutzen lässt. Und zwar auf eine Art und Weise, die tatsächlich eine Gefahr für sensible Daten darstellt. So sind Möglichkeiten für einen Keylogger aufgetaucht, der dann wiederum Anmeldeinformationen mitschneidet oder ähnliche Daten sammelt und schlussendlich auch sendet.

Die Funktionsweise erinnert dabei an Wo ist? selbst. Die Daten werden nämlich via Bluetooth, genaugenommen als Bluetooth-Low-Energy-Pakete, an ein Gerät im Wo ist? Netzwerk übertragen und von dort aus an die Cloud gesendet. Diese Daten lassen sich anschließend ganz einfach einsehen und da es sich mitunter um Passwörter handeln kann, ist der Angriff natürlich als hochgradig gefährlich einzustufen.

Die Daten werden dabei in einem Standortbericht gesammelt, aber nicht in einem solchen übertragen. Vielmehr wird ein Hash dafür erzeugt, der wiederum später aus der Cloud heraus abgerufen werden kann, um den eigentlichen Bericht einzusehen. In dem Hash lässt sich dann nahezu alles codieren, was übertragen werden soll. Somit kann ein Angreifer von überall auf die Hashes und auf die vom Keylogger gesammelten Daten zugreifen.

Mehr als ein theoretischer Angriff

Nun klingt das für viele sicherlich etwas weit hergeholt und hochgradig komplex, doch genau das ist es letztlich gar nicht. Ein Sicherheitsexperte hat den Angriff auf YouTube bereits demonstriert und zeigt in dem Video, wie einfach dieser vonstattengehen kann. Dazu wird ein Keylogger innerhalb einer Tastatur versteckt, der dann die Daten über das Wo ist? Netzwerk übertragen soll. Super einfach, aber auch hochgradig effektiv.

Weil Apple zudem nie genau prüft, ob das Gerät eines von Apple ist oder ein Angreifer, können sich in der Theorie alle Geräte mit dem Wo ist? Netzwerk verbinden. Forscher der TU Darmstadt haben hier bereits selbst gebaute Geräte verbunden, wobei es keinerlei Hürden oder Probleme gegeben hat und es allgemein auch keine Schwierigkeiten erzeugte, sich erfolgreich zu verbinden.

Am Ende sind das alles dennoch nur hypothetische Experimente. Allerdings, und das muss auch gesagt werden, gab es ähnliche Schwachstellen schon im Jahr 2021 und Apple hat somit kaum etwas verbessert oder korrigiert. Mit dem Wo ist? Netzwerk bleibt daher eine riesengroße und allseits bekannte Sicherheitslücke auf Apple-Geräten bestehen, die zwar nicht von jedem, aber versierten Angreifern entsprechend stark ausgenutzt werden kann.

Empfehlungen bezüglich der Cybersicherheit

Die Empfehlungen auf Grundlage dieser Schwachstellen sind unterschiedlicher Natur. Allgemein würden wir sagen, dass Apple-Geräte in sensiblen Hochsicherheitsbereichen durch diesen Umstand nicht angebracht erscheinen. Hier wäre es ratsam, auf kontrollierbare Geräte zu setzen, die sich umfangreich verwalten und verstehen lassen, also keine versteckten Netzwerke besitzen, die Daten senden können.

Gefährlich ist die Schwachstelle im Wo ist? Netzwerk in erster Linie deshalb, weil kein WLAN für eine Übertragung der gestohlenen Daten verwendet wird. Das wiederum bedeutet, dass diese in der IT auch nur selten auffallen werden. Schließlich wird dort vorwiegend das Netzwerk selbst überwacht. Wo ist? agiert aber über Bluetooth und damit völlig unbeachtet von den typischen Sicherheitsmaßnahmen in Unternehmen. Es fliegt gewissermaßen unter dem Radar gängiger Cybersicherheitsstrategien.

Wer in seinem Unternehmen stark auf die Sicherheit bedacht ist, sollte iPhones am Eingang abgeben und verwahren lassen. Eine ausgeschaltete Wo ist? Funktion hilft zwar, doch es reicht ein einzelnes aktiviertes Gerät in der Umgebung, schon führt der Angriff wieder zum Erfolg. Eine knifflige Sache, die sich auch kaum beheben lässt. Denn Apple selbst hat Wo ist? ungewöhnlich offen gestaltet und weiß somit selbst nicht, wer oder was gerade eine Verbindung aufbaut. Der Datenschutz an dieser Stelle führt also paradoxerweise dazu, dass die Sicherheit aller gefährdet wird.

Foto des Autors

Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin geschäftsführender Gesellschafter der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.