idw – Informationsdienst Wissenschaft
Nachrichten, Termine, Experten
Nachrichten, Termine, Experten
Darmstadt, 4. März 2021. Die vom Apple-Konzern angebotene Tracking-App „Wo ist?“ soll es leichter machen, eigene Apple-Geräte zu finden. Die Ortung läuft über Bluetooth, funktioniert also auch, wenn die Geräte offline oder in den Flugmodus geschaltet sind. Eine praktische Funktion für alle Apple-Nutzerinnen und -Nutzer, um zum Beispiel zu sehen, ob das iPhone noch auf dem Büroschreibtisch liegt oder womöglich in der U-Bahn aus der Tasche fiel. Zwar arbeitet die App verschlüsselt, sodass niemand die generierten Ortungs- und Identitätsdaten auslesen und zurückverfolgen können sollte. Dennoch hat das Forschungsteam des Secure Mobile Networking Lab der TU Darmstadt Sicherheitslücken gefunden.
Ein vierköpfiges Forschungsteam des Secure Mobile Networking Lab – Alexander Heinrich, Milan Stute, Tim Kornhuber und Professor Matthias Hollick – hat zwei Schwachstellen im Betriebssystem macOS entdeckt und nun veröffentlicht – im Paper „Who Can Find My Devices?“, welches auf der internationalen Flaggschiff-Konferenz für Datenschutztechnologien „PETS − Privacy Enhancing Technologies Symposium“ präsentiert wird. Demnach ist es mithilfe einer Malware insbesondere im Betriebssystem macOS möglich, heimlich vergangene und aktuelle Ortungsdaten aller Apple-Geräte einer Nutzerin oder eines Nutzers einzusehen. Mit dem Wissen dieser Daten wäre es dann laut Forschungsteam leicht möglich, beispielsweise auch ein Haus oder einen Arbeitsplatz als oft besuchte Orte der Betroffenen zu identifizieren, und zwar mit einer Genauigkeit bis auf zehn Meter. Diese massive Schwachstelle hat das Team bereits an Apple gemeldet und Lösungen vorgeschlagen. Die Lücke wurde mit einem Softwareupdate für macOS auf die Version 10.15.7 im September 2020 behoben.
Doch selbst ohne unbefugte Zugriffe auf dem Rechner könnten Rückschlüsse auf Besitzerinnen und Besitzer von Geräten gezogen werden: Schon wenn zwei oder mehrere Apple-Nutzerinnen und -Nutzer sich in der Nähe zueinander aufhalten und später die Daten ihrer „Wo ist?“-App abrufen, könnte diese Nahdistanz im Nachhinein von Apple noch immer nachgewiesen werden. Die vier TU-Wissenschaftler belegen dies anhand des Beispielszenarios einer Demonstration, auf der die Teilnehmenden ihre iPhones in den Flugmodus schalten, um nicht über das Handynetz geortet zu werden. Die Endgeräte würden dann weiterhin über „Wo ist?“ gemeldet, wodurch Apple im Nachhinein dennoch die Nähe der Endgeräte feststellen könnte. Apple behauptet zwar, dass diese Daten nicht gespeichert würden – „allerdings bestünde die technische Möglichkeit, entsprechende Begegnungen zentral zu protokollieren“, so das Forschungsteam.
„Wir haben mehr als ein Jahr gebraucht, um die einzelnen Komponenten von „Wo ist?“ so zu verstehen, dass wir nach Schwachstellen suchen konnten“, erklärt Milan Stute. Nachdem das Forschungsteam die Funktionsweise der App aufwändig rekonstruiert hatte, konnte es in Experimenten die Sicherheitslücken des macOS Betriebssystems beweisen. Die schwere Nachvollziehbarkeit der genauen Funktionsweise der App habe auch dazu geführt, dass Apple-User bzw. deren Daten mehr als ein Jahr über die beschriebene Schwachstelle potentiell angreifbar waren, beklagt Hollick. Er plädiert deshalb für transparentere Open-Source Lösungen in diesem Bereich kritischer Daten: „Wir verstehen, dass ein Unternehmen sein geistiges Eigentum schützen muss. Wir sind jedoch der Meinung, dass Systeme wie „Wo ist?“, die mit hochsensiblen Informationen arbeiten, frei zugänglich oder zumindest vollständig dokumentiert sein müssen, um zeitnah unabhängige Analysen zu ermöglichen.“
Hintergrund: Gemeinsame Sicherheitsforschung
Die Forschungsarbeit ist eine Kollaboration von TU Darmstadt (LOEWE-Zentrum emergenCITY) und ATHENE - Nationales Forschungszentrum für angewandte Cybersicherheit: emergenCITY untersucht, wie die Resilienz digitaler Städte erhöht werden kann – dort spielen solche ortsbasierten Informationen eine zunehmend wichtige Rolle. ATHENE fokussiert sich auf die Sicherheitsaspekte unserer digitalen Gesellschaft. Das vierköpfige Forschungsteam hat eine offene Implementierung des Offline Finding Systems namens OpenHaystack (https://github.com/seemoo-lab/openhaystack) veröffentlicht, um weitere Sicherheitsforschung zu ermöglichen und damit langfristig die Sicherheit des geschlossenen Systems zu erhöhen.
Über die TU Darmstadt
Die TU Darmstadt zählt zu den führenden Technischen Universitäten in Deutschland. Sie verbindet vielfältige Wissenschaftskulturen zu einem charakteristischen Profil. Ingenieur- und Naturwissenschaften bilden den Schwerpunkt und kooperieren eng mit prägnanten Geistes- und Sozialwissenschaften. Drei Forschungsfelder prägen das Profil der TU Darmstadt: I+I (Information and Intelligence), E+E (Energy and Environment) sowie M+M (Matter and Materials). Wir entwickeln unser Portfolio in Forschung und Lehre, Innovation und Transfer dynamisch, um der Gesellschaft kontinuierlich wichtige Zukunftschancen zu eröffnen. Daran arbeiten unsere 312 Professorinnen und Professoren, rund 4.500 wissenschaftlichen und administrativ-technischen Mitarbeiterinnen und Mitarbeiter sowie rund 25.400 Studierenden. Im Netzwerk UNITE!, das Universitäten aus sieben europäischen Ländern vereint, treibt die TU Darmstadt die Idee der europäischen Universität voran. Mit der Goethe-Universität Frankfurt und der Johannes Gutenberg-Universität Mainz bildet die TU Darmstadt die strategische Allianz der Rhein-Main-Universitäten.
www.tu-darmstadt.de
MI-Nr. 15/2021, emergenCITY/feu
Alexander Heinrich, Milan Stute, Tim Kornhuber, Matthias Hollick. “Who Can Find My Devices? Security and Privacy of Apple’s Crowd-Sourced Bluetooth Location Tracking System.” Proceedings on Privacy Enhancing Technologies (PoPETs), 2021. http://arxiv.org/abs/2103.02282
Criteria of this press release:
Journalists
Information technology
transregional, national
Research results
German
You can combine search terms with and, or and/or not, e.g. Philo not logy.
You can use brackets to separate combinations from each other, e.g. (Philo not logy) or (Psycho and logy).
Coherent groups of words will be located as complete phrases if you put them into quotation marks, e.g. “Federal Republic of Germany”.
You can also use the advanced search without entering search terms. It will then follow the criteria you have selected (e.g. country or subject area).
If you have not selected any criteria in a given category, the entire category will be searched (e.g. all subject areas or all countries).
