Das „Find My“-Netzwerk von Apple, das für die Ortung verlorener Geräte oder Gegenstände durch AirTags verwendet werden kann, birgt ein nicht zu unterschätzendes Sicherheitsrisiko. IT-Sicherheitsexperte Fabian Bräunlein demonstriert mit einem präparierten Keyboard, wie Angreifer das System zur unbemerkten Datenübertragung missbrauchen können.
Ein Experiment des Sicherheitsexperten zeigt, wie ein Keylogger in eine USB-Tastatur integriert werden kann, um alles Getippte über das Find My Netwerk zu übertragen. Dadurch könnten Log-In-Daten oder vertrauliche E-Mails in die Hände des Angreifers gelangen. Hardware-Keylogger, die zwischen Tastatur und Computer eingesteckt werden, sind seit Jahren eine bekannte Bedrohung. Bei Bräunleins Methode handelt es sich allerdings um eine weitaus unauffälligere Alternative, da sie nur Bluetooth-Signale mit kurzer Reichweite nutzt.
Die Methode nutzt Bluetooth Low Energy (LE), was sich ähnlich verhält wie die Signale von Apples AirTags. Diese werden von Apple Geräten in der Nähe aufgenommen und als Standortberichte hochgeladen. Durch diese Standortberichte kann der Angreifer die versendeten Daten rekonstruieren. Dabei nutzt der Angreifer gezielt die starke Datenschutzorientierung des Find My Netzwerks aus. Weder die Apple-Geräte, noch Apple selbst können erkennen, von welchen AirTags die Bluetooth-Pakete stammen.
Keylogger in USB-Tastatur (Bild: Heise)
Datenübertragung durch Manipulation von Hash-Werten
Ein entscheidendes Detail in Bräunleins Experiment ist die Fähigkeit des Angreifers, den Hash-Wert zu bestimmen. Ein Hash-Wert ist eine kryptografische Zeichenfolge, die aus Daten generiert wird. Obwohl der Inhalt des Standortberichts selbst nicht manipulierbar ist, ermöglicht die Modifikation des Hash-Werts Informationen wie Passwörter indirekt zu kodieren und unbemerkt über das Find My Netzwerk zu übertragen. Der Angreifer kann diese kodierten Daten später aus den abgerufenen Standortberichten extrahieren. Da die Daten über das Internet übertragen werden, muss der Angreifer auch nicht vor Ort sein, sondern kann sich überall auf der Welt befinden.
Angesichts des Aufbaus und der Architektur des Find My Netwerks lassen sich die Angriffe grundsätzlich nicht verhindern. Apple könnte zwar versuchen, ungewöhnliche Aktivitäten herauszufiltern, jedoch würde das auf ein Katz und Maus Spiel mit dem Angreifer hinausführen. In Hochsicherheitsbereichen, wie in Regierungsgebäuden oder der Bundeswehr, könnte es ggf. Sinn ergeben, dass iPhones, iPads und MacBooks abgegeben werden oder zumindest die standardmäßig eingeschaltete Tracking-Funktion deaktiviert wird.
Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung männlicher, weiblicher und diverser Sprachformen (m/w/d) verzichtet. Alle Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.
Wir nutzen Cookies, um Allround-PC zu verbessern. Einige Cookies sind von
Drittanbietern und für unseren Inhalt essenziell, alle andere sind freiwillig. Du erhältst Details unter
Einstellungen oder kannst direkt eine Auswahl treffen:
YouTube ist ein Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland
Nutzungszweck
Stellt Videos von youtube.com in einem Videoplayer bereit.
Welche Daten werden verarbeitet
Videos werden über die "No Cookie"-Domain von YouTube geladen. Dadurch werden keine Cookies zum
Tracken gesetzt. Zudem haben wir unseren YouTube Kanal als "Familienfreundlichen" Kanal angemeldet,
sodass YouTube keine personalisierte Werbung schaltet.
Es werden beim Aufruf unserer Website keine personenbezogenen Daten verarbeitet. Mehr dazu erfahren
Mit dem Starten eines YouTube Videos wird eine Verbindung zu den Servern von Google und u.U. mit
Googles Werbenetzwerk aufgenommen, auf die wir keinen Einfluss nehmen können.
Du kannst das Laden von YouTube Videos hier deaktivieren:
Deaktiviert
Datenübertragung an Drittland
Ja, USA
Anbieter
VG Wort ist ein Dienst der Rechtsfähiger Verein kraft Verleihung, Untere Weidenstraße 5, 81543
München
Nutzungszweck
Mit VG-Wort erhalten unsere Autoren für Ihre Inhalte Vergütungen von der VG Wort Stiftung. Um zu
ermitteln, wie häufig Beiträge angesehen wurden, wird eine Pixel-Grafik
in Beiträgen geladen, über die die VG Wort die Zugriffe zählt.
Welche Daten werden verarbeitet
VG-Wort ermittelt keine personenbezogenen Daten, sondern führt nur eine Art "digitale Strichliste"
zur Ermittlung der Aufrufe einzelner Beiträge.
Datenübertragung an Drittland
Nein
Anbieter
Statify ist ein Dienst, der von Allround-PC betrieben wird
Nutzungszweck
Mit Statify erhalten wir rudimentäre Informationen über Zugriffszahlen unserer Inhalte auf
Allround-PC.com
Welche Daten werden verarbeitet
Es werden Datum, Einstiegs- und Ziel-Seite gespeichert. Personenbezogene Daten werden nicht erhoben
Rechtsgrundlage
Berechtigtes Interesse, Art. 6 Abs. 1 f DSGVO
Datenübertragung an Drittland
Nein
Anbieter
Matomo ist ein Analysedienst, den Allround-PC.com selber betreibt. Alle Daten werden auf deutschen Servern gespeichert und werden nicht an Dritte weitergegeben.
Nutzungszweck
Mit Matomo erhalten wir rudimentäre Informationen über Zugriffszahlen unserer Inhalte auf Allround-PC.com. Zudem erkennen wir, wenn es technische Probleme auf einzelnen Seiten gibt und können so auf Fehler direkt aufmerksam werden.
Welche Daten werden verarbeitet
Wir betreiben Matomo mit einer IP-Adress-Anonymisierung, dabei werden alle Daten in einem regelmäßigen Zeitraum gelöscht. Zudem kann in der Datenschutzerklärung (Punkt: "Matomo") dem Dienst widersprochen werden.
Datenübertragung an Drittland
Nein
Anbieter
Google Analytics ist ein Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4,
Ireland
Nutzungszweck
Mit Google Analytics erhalten wir Informationen, wie unsere Nutzer Allround-PC nutzen.
Dadurch können wir unsere Plattform verbessern, neue Inhalte planen und die Qualität unserer
Beiträge steigern.
Welche Daten werden verarbeitet
Es wird die anonymisierte IP-Adresse verarbeitet, sowie anonyme Statistiken
Speicherdauer
Die übertragenen Daten werden nach 38 Monaten gelöscht. Die Löschung von Daten, deren
Aufbewahrungsdauer erreicht ist, erfolgt automatisch einmal im Monat.
Google Tag Service ist ein Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4,
Ireland
Nutzungszweck
Spielt Werbeanzeigen unserer Partner aus. Dient damit auch zur Ermittlung von Zugriffs- und
Anzeige-Statistiken unserer Werbeanzeigen, sowie
der Erkennung von Spam innerhalb der Werbesysteme.
Welche Daten werden verarbeitet
Nicht personenbezogene Nutzerdaten
Speicherdauer
Die übertragenen Daten werden nach 38 Monaten gelöscht. Die Löschung von Daten, deren
Aufbewahrungsdauer erreicht ist, erfolgt
automatisch einmal im Monat.
Deaktivieren oder Entziehen Sie die Berechtigung Cookies zu Speichern über Ihre
Browser-Einstellungen.
Dadurch können unsere Dienste gar keine Cookies mehr setzen.
Datenübertragung an Drittland
Ja, USA
Anbieter
LG Electronics Deutschland GmbH, Alfred-Herrhausen-Allee 3-5, 65760 Eschborn, Deutschland
Lautsprecher Teufel GmbH, Bikini Berlin, Budapester Straße 44, 10787 Berlin, Deutschland
Corsair GmbH, Rotkreuzplatz 1, 80634 München, Deutschland
Nutzungszweck
Mit unseren Werbeanzeigen in Beiträgen und der Sidebar werden Teile von Allround-PC refinanziert.
Dabei werden Klick- und View-Statistiken ermittelt.
Welche Daten werden verarbeitet
Nicht personenbezogene und / oder anonymisierte Nutzerdaten
Die Anbieter verwenden Software, die Daten außerhalb von Deutschland verarbeiten. Darunter fallen die
Dienste Google Tag Manager und AdButler.
Diese Dienste haben sich ebenfalls der DSGVO Konformität verpflichtet und verarbeiten Daten nach
europäischem Recht.
Speicherdauer
Alle Anbieter halten sich an die DSGVO und Speichern Nutzerdaten nur so lange, wie
es für den Betrieb der Dienste notwenig sind oder es gesetzlich vorgeschrieben ist.
Rechtsgrundlage
Berechtigtes Interesse, Art. 6 Abs. 1 f DSGVO
Datenverarbeitung unterbinden
Du kannst das Laden von Werbeanzeigen mit Tracking deaktivieren, es wird weiterhin Werbung ohne
Tracking geladen:
Deaktiviert
Datenübertragung an Drittland
Ja, USA.
Anbieter
Twitter ist ein Dienst der Twitter International Company, One Cumberland Place,
Fenian Street Dublin 2, D02 AX07, Ireland
Facebook / Instagram sind Dienste der Facebook Ireland Limited, 4 Grand Canal
Square, Dublin 2, Irland
LinkedIn ist ein Dienst der LinkedIn Ireland Unlimited Company, Wilton Place,
Dublin 2, Ireland
Nutzungszwecke
Wir verwenden teilweise Quellen von Social Media Plattformen, wie z.B. Twitter, Facebook und
Instagram. Bei eingebetteten
Quellen und Beiträgen, werden Inhalte von diesen Social Media Plattformen verfügbar gemacht. Diese
Plattformen haben nach dem Laden ihrer Inhalte
die Möglichkeit, Informationen über dich zu sammeln und zu speichern.
Welche Daten werden verarbeitet
Es wird deine IP-Adresse und nicht-personenbezogene Daten erfasst.
Speicherdauer
Auf die Dauer der Datenspeicherung haben wir leider keinen Einfluss. Alle Anbieter geben an, sich an
die DSGVO zu halten. LinkedIn gibt an, dass Cookies in der Regel nur für eine Sitzung, jedoch vereinzelt Cookies
auch für eine längere Zeit, um z.B. das „Wiedereinloggen“ zu vereinfachen, gespeichert werden.
Bitte informiere dich bei den jeweiligen Anbietern über deren aktuelle Datenspeicherung: Twitter - DatenschutzFacebook -
DatenschutzLinkedIn - Datenschutz
Rechtsgrundlage
Berechtigtes Interesse, Art. 6 Abs. 1 f DSGVO
Angabe von Quellenangaben, § 63 UrhG
Datenverarbeitung unterbinden
Du kannst das Laden von allen externen Inhalte & Quellen deaktivieren:
Mouseflow erstellt statistische Informationen darüber, wie Nutzer Allround-PC benutzt und mit
welchen Elementen auf dieser Seite interagiert wird.
Wir prüfen dadurch, ob unsere Beiträge benutzefreundlich, verständlich und funktionstüchtig sind.
Es wird ein Cookie gesetzt, wie auch nicht-personenbezogene Daten verarbeitet.
Speicherdauer
Mouseflow gibt an, sich an die EU Datenschutzrichtlinien zu halten. Daten werden für maximal 4
Monate oder je Browser-Sitzung gespeichert.
Rechtsgrundlage
Berechtigtes Interesse, Art. 6 Abs. 1 f DSGVO
Datenverarbeitung unterbinden
Du kannst das Laden von Mouseflow deaktivieren:
Deaktiviert
Datenübertragung an Drittland
Ja, innerhalb der EU nach Dänemark.
Mit der Auswahl "Anpassungen speichern" werden deine Tracking-Präferenzen gespeichert.
Zudem stimmst du zu, dass wir technisch notwendige Cookies verwenden dürfen.
Hey! Schön, dass du da bist. 😊
Bitte deaktiviere deinen Adblocker oder VPN, damit wir Inhalte auch weiterhin kostenfrei und ohne nervige Paywall anbieten können.
Werbebanner sind für uns essenziell, um unsere Artikel und Videos zu finanzieren.
Vielen Dank für deinen Support! ❤️
Wie deaktiviere ich meinen Adblocker für diese Seite?
Adblocker Einstellungen aufrufen
"Werbung blockieren auf Diese Webseite" ausschalten
Seite aktualisieren
Diese Meldung wird nach erfolgreicher Freischaltung nicht mehr angezeigt.
Ich verwende keinen Adblocker, dafür einen VPN Dienst.
Viele VPN Dienste bieten Funktionen, wie "privates Web" oder "Web-Filter". Diese Funktionen blockieren genau wie der Adblocker große Teile der Webseite.
In den Einstellungen deines VPN, kannst du unsere Domain www.allround-pc.com ausschließen. Wir bieten mit unserer Consent-Abfrage und der verschlüsselten Übertragung einen hohen Schutz deiner Daten.
Warum schadet der Adblocker (unseren) Autoren?
Da Adblocker nicht nur Anzeigen, sondern auch VG-Wort-Zählmarken blockiert, erhalten unsere Autoren keine Unterstützung von der VG Wort Verwertungsgesellschaft. Diese unterstützt redaktionelle Inhalte im Internet. Mehr dazu findest du auf der VG-Wort-Webseite.
Wie schützen wir deine Daten?
Neben der Möglichkeit alle externen Dienste zu beschränken, ist Allround-PC über eine verschlüsselte Verbindung erreichbar. Zudem erheben wir nur Daten, die wir auch wirklich für den jeweiligen Zweck benötigen. Anzeigen, die trotz Ablehnen aller Cookies angezeigt werden, laden wir direkt von unserem Server. So schützen wir deine Daten & dein Surf-Verhalten.
Kommentieren, Austauschen und Fragen...
Schreibe einen eigenen Kommentar