Airtags sind digitale Schlüsselanhänger von Apple, mit denen wir Dinge orten können – und die sind offenbar schon nach wenigen Tagen gehackt worden. Kriminelle können so arglose Userinnen und User auf Phishing-Seiten locken und Daten stehlen. Und es gibt noch mehr Probleme.
Die digitalen Schlüsselanhänger von Apple waren schon lange erwartet worden, im April hatte der Konzern die Airtags dann offiziell präsentiert. Im Prinzip sind das kleine Knöpfe oder Schlüsselanhänger, die zur exakten Ortung von Gegenständen dienen können. Dazu enthalten sie einen Chip, der ein NFC-Signal sendet. Das ist die Technologie, mit der man zum Beispiel mit dem Handy an der Kasse zahlt.
Airtags helfen beim Suchen von Notizbüchern oder Portemonnaies
Die Airtags können zum Beispiel ans wichtige Notizbuch geheftet werden oder ans Portemonnaie. Werden die verloren, können sie mit dem Handy gesucht werden.
Aber auch andere Personen können bei der Suche helfen. Wenn jemand einen fremden Airtag findet, kann der mit dem Handy gescannt werden. Im Normalfall öffnet sich dann eine Apple-Seite mit Informationen, wie der Besitzer oder die Besitzerin wieder an ihren Kram kommen kann.
"Apple hat bei der Vorstellung der Airtags viel Wert auf die Sicherheit der Anhänger gelegt. Insofern ist es zunächst überraschend, dass das System offenbar in so kurzer Zeit ausgetrickst werden konnte."
Aber: Einem deutschen Sicherheitsforscher ist es schon wenig Tage nach der Vorstellung der Airtags gelungen, die Software der Geräte so umzuprogrammieren, dass sie falsche Informationen aussenden. "Mit dem modifizierten Airtag könnten Kriminelle dann eine andere Webseite als die Apple-Seite aufrufen lassen – eine Phishing-Webseite zum Beispiel", erklärt Deutschlandfunk-Nova-Reporter Andreas Noll.
Kriminelle können nicht aus der Ferne hacken
Ein extrem hohes Risiko scheint das bisher aber nicht zu sein, denn die Airtags können nur mit physischem Zugriff gehackt werden. Kriminelle können sie also nicht aus der Ferne via Software modifizieren, sondern müssen direkt an sie herankommen.
"Man muss also einen hohen Aufwand betreiben, um am Ende den Finder eines Airtags auf eine Webseite zu locken, die dann zum Phishing genutzt werden könnte", erklärt Andreas Noll. "Das erscheint dann in der Praxis wenig realistisch."
"Man kann die Airtags nur mit physischem Zugriff hacken. Man muss also einen hohen Aufwand betreiben, das erscheint dann in der Praxis wenig realistisch."
Bei der Vorstellung der Airtags hat Apple noch viel Wert auf die Sicherheit der Anhänger gelegt, sagt Andreas Noll: "Insofern ist es zunächst überraschend, dass das System offenbar in so kurzer Zeit ausgetrickst werden konnte." Er vermutet, dass Apple die Sicherheitslücke schnell schließen könnte.
Airtags könnten zum Stalken genutzt werden
Die Airtags haben aber offenbar noch ganz andere Probleme: Es gibt Sorgen, dass Menschen über die Airtags ohne deren Einwilligung nachverfolgt werden könnten – zum Beispiel indem man ihnen heimlich einen Airtag unterjubelt. Die Washington Post hat das getestet und Probleme beim Anti-Stalking-Schutz festgestellt.
So gibt es auf dem iPhone zwar eine Warnung, wenn ein fremder Airtag in der Nähe ist, bei Android-Smartphones habe es laut Washington Post drei Tage gedauert, bis es eine Warnung gab: "Dann meldete sich das Gerät mit 60-DB-Lautstärke eines Alarmtons, also die Lautstärke eines leisen Radios", berichtet Andreas Noll. "Aber auch nur 15 Sekunden lang."
"Die Warn-Hinweise, die in den fremden iPhones erscheinen, sind wohl ausbaufähig. Da erfährt der Nutzer lediglich, dass sich ein fremder Airtag in der Nähe befindet – aber eine detaillierte Suchfunktion fehlt."
Noch problematischer wird es, wenn man Menschen aus dem engeren Umfeld trackt. Hat der Airtag einmal pro Tag Kontakt zum iPhone der überwachenden Person, gibt es gar keinen Alarm. Eine Partnerin oder Partner könnten also recht problemlos nachverfolgt werden, wo sie sich gerade bewegen.
Apple weist die Vorwürfe in dem Bericht der Washington Post zurück, hat aber angekündigt, die Software der Airtags verbessern zu wollen. Wie und wann das geschehen soll, ist aber bislang offen.