«Wo ist» die Sicherheitslücke
Die vom Apple-Konzern angebotene Tracking-App «Wo ist» soll es leichter machen, eigene Apple-Geräte zu finden. Zwar arbeitet die App verschlüsselt und spürt die Geräte via Bluetooth auf. Dennoch hat ein Forschungsteam der TU Darmstadt Sicherheitslücken entdeckt, deren Aufspürung ein Jahr gedauert hat.
Die Tracking-App «Wo ist» von Apple arbeitet zwar verschlüsselt via Bluetooth, um Apple-Geräte aufzuspüren. Dennoch hat ein vierköpfiges Forschungsteam des Secure Mobile Networking Lab der TU Darmstadt Lücken im Betriebssystem macOS entdeckt und veröffentlicht, die sich bei der Tracking-App ausnutzen lassen. Mithilfe einer Malware wäre es theoretisch möglich, heimlich vergangene und aktuelle Ortungsdaten sämtlicher Apple-Geräte einzusehen. Mit diesem Wissen wäre es beispielsweise möglich, ein Haus oder einen Arbeitsplatz als häufig besuchte Orte aufzuspüren. Die massive Sicherheitslücke hat das Forschungsteam bereits Apple gemeldet und wurde mit einem Software-Update im September 2020 in macOS Version 10.15.17 behoben.
Dennoch plädiert das Forschungsteam nach wie vor für transparentere Open-Source-Lösungen. Die schwere Nachvollziehbarkeit der genauen Funktionsweise der App habe dazu geführt, dass Apple-User mehr als ein Jahr potenziell angreifbar gewesen seien.
«Systeme, die mit hochsensiblen Informationen arbeiten, sollten frei zugänglich oder zumindest vollständig dokumentiert sein, um zeitnah unabhängige Analysen zu ermöglichen», lassen sich die Security-Forensiker in einer Mitteilung zitieren.
Publikation: https://arxiv.org/abs/2103.02282
Quelle: TU Darmstadt
