Apple AirDrop verrät Kontaktdaten seines Besitzers
Apple AirDrop bietet die Möglichkeit, Dateien, Fotos, Videos sowie andere Medien über eine drahtlose Peer-to-Peer-Verbindung mit anderen Apple-Geräten zu teilen. In den AirDrop-Einstellungen lässt sich entscheiden, ob das eigene Gerät für jeden, nur für gespeicherte Kontakte oder für keinen sichtbar sein soll. AirDrop nutzt einen gegenseitigen Authentifizierungsmechanismus, um festzustellen, ob ein gespeicherter Kontakt vorliegt. Bei diesem Mechanismus werden die Telefonnummer sowie die E-Mail-Adresse mit dem Fremdgerät abgeglichen.
Die Seite PrivateDrop hat nun Schwachstellen dieses Mechanismus offengelegt. Zum einen gibt der Sender während der AirDrop-Authentifizierung immer seine eigenen Kontaktdaten in Form von Telefonnummer sowie E-Mail-Adresse preis. Zum anderen verrät auch der Empfänger seine Kontaktdaten als Antwort auf den Sender, falls eine der Telefonnummern oder E-Mail-Adressen des Senders bekannt sind. Der Sender kann auf diese Weise an alle Kontaktdaten (Telefonnummer eingeschlossen) des Empfängers gelangen.
Die angesprochenen Schwachstellen sind auf die von Apple verwendeten Hash-Funktionen zurückzuführen. Mit diesen Funktionen „verschleiert“ Apple bei der Authentifizierung die Kontaktdaten. Die Hash-Werte von Telefonnummern und E-Mail-Adressen lassen sich aber mit einfachen Techniken zurückrechnen.