Da ist der Wurm drin
Darmstadt, 16.05.2019. Ein internationales Forscherteam entdeckt Sicherheits- und Privatheitsprobleme in iOS und macOS. Die Wissenschaftler empfehlen Nutzern von Apple-Geräten dringend, Updates zu installieren.
Jessica will mit ihrem iPhone zu ihrem Flug nach New York einchecken, doch der Bildschirm bleibt schwarz, während das Telefon ständig neu startet. Und sie ist damit nicht alleine: alle Nutzer von Apple-Geräten in der Nähe haben dasselbe Problem. Was sie nicht weiß: als sie in der Flughafenlounge Fotos und Firmenpräsentationen von ihrem Handy zu ihrem MacBook übertragen hat, konnte ein Angreifer diese mitlesen, ihren Standort nachverfolgen und diesen sogar mit ihrem Vornamen und einer Geräte-ID assoziieren.
Diese Schwachstellen wurden von Forschern der TU Darmstadt und der Northeastern University, Boston entdeckt. Gemeinsam mit dem Apple Sicherheitsteam arbeiteten die Forscher an der Behebung der Lücken. Sie empfehlen Nutzern von Apple-Geräten dringend, die soeben veröffentlichten Updates iOS 12.3 und macOS 10.14.5 zu installieren, um die Sicherheitsverbesserungen zu erhalten.
Mehr als eine Milliarde Apple-Geräte waren prinzipiell von den Schwachstellen betroffen, da diese in einem gemeinsamen Kernbestandteil aller Apple-Betriebssysteme wie iOS und macOS verborgen waren: ein proprietäres Protokoll namens Apple Wireless Direct Link (AWDL), über das bisher nicht viel bekannt war. Zahlreiche Sicherheits- und Privatheitsprobleme darin ermöglichten es einem Angreifer, Handynutzer zu orten, ihre Geräte abstürzen zu lassen, Kommunikation zu unterbinden und sensible Daten bei der Übermittlung per AirDrop abzufangen.
AWDL macht es möglich Nutzer zu verfolgen, da es die ID und den Gerätenamen preisgibt, der in vielen Fällen den Vornamen des Besitzers enthält. Milan Stute, Forscher an der TU Darmstadt und im Nationalen Forschungszentrum für angewandte Cybersicherheit CRISP, erklärt: „Wir erforschen die Drahtlos-Funktionen von Apple seit 2017, um zu verstehen wie AWDL und die damit zusammenhängenden Dienste funktionieren. Zusätzlich zu den bereits erwähnten Privatheitsproblemen haben wir so auch einige Sicherheitsschwachstellen aufgedeckt.“