Nur Android nicht betroffen
Bluetooth-Schwachstelle erlaubt Tracking von Apple- und Windows-Geräten
Aufgrund einer Schwachstelle im Bluetooth-Protokoll soll es möglich sein, den Standort von iOS-Geräten, Macs, der Apple Watch und ebenso Geräten mit Windows 10 sowie Fitbit-Produkten zu überwachen bzw. diese zu orten. Android-Nutzer müssen sich überraschenderweise diesbezüglich keine Sorgen machen.
Das Technikmagazin TheNextWeb berichtet detailliert über das im Rahmen einer Datenschutzkonferenz bekannt gewordene Problem. Dem zufolge haben Sicherheitsexperten der Universität Boston die Schwachstelle entdeckt und deren Vorhandensein in den genannten Betriebssystemen nachgewiesen.
Angriffspunkt ist eine Funktion, die die Sichtbarkeit eines Geräts für andere Bluetooth-Geräte als Basis für einen direkten Verbindungsaufbau gewährleistet. Anhand verschiedener in diesem Zusammenhang bereitgestellter gerätespezifischer Daten ist mit der in diesem PDF ausführlich beschriebenen Methode der Forscher eine dauerhafte eindeutige Identifizierung des Geräts möglich.
Auf Android-Geräten schlagen vergleichbare Versuche fehl, da diese den Forschern zufolge keinerlei identifizierbare Daten kommunizieren, wenn sie ihre Bereitschaft für eine Bluetooth-Verbindung anzeigen.
Für die von den Forschern beschriebene Standortverfolgung bzw. Ortung muss das betreffende Gerät in Bluetooth-Reichweite sein. Der geringe Aktionsradius des Protokolls wird hier also zum Vorteil, und eine Lokalisierung über größere Entfernungen hinweg ist nicht möglich. Dennoch lässt sich auf diese Weise beispielsweise eindeutig der Aufenthalt eines bestimmten Geräts (und damit wohl auch dessen Besitzers) in einem Gebäude oder sogar einem bestimmten Raum nachweisen.
Für Abhilfe müssten Änderungen im Bluetooth-Protokoll vorgenommen werden. Hier bleibt abzuwarten, inwieweit eine Umsetzung mit Blick auf ältere Geräte möglich ist.
Apple unsicherer als Android?
Ich kann es nicht glauben > Apple FIX it !
In der Google I/O dieses Jahr hatte Google berichtet dass Android 9 und das Pixel 3 im Gartner Security Assessment quasi „gewonnen“ haben. Das Pixel 3 war demnach das sicherste aller geprüften Telefone.
Genauso wird die Spracherkennung nur noch lokal aufm Android Handy laufen.
Google schläft hier also ganz und gar nicht. Und mit Android 10 kommt da noch das ein oder andere Sicherheitsfeature.
Bluetooth und WLAN sind nicht nur wegen dieser Schwachstelle trackbar. Das ist generell auf Grund der Protokolle so.
Ist es nicht ausreichend, einfach WLAN und BT zu deaktivieren?
Ja, da hier nur auf sie Advertising-Pakete reagiert wird.
Das erklärt warum das Pairing unter Android immer erst beim x-ten Mal erfolgreich ist und Windows und Apple gleich das Gerät verbinden.
Na das wird aber nicht so wirklich in die Welt einiger hier passen. Bin auf die Erklärungen gespannt.
„Der geringe Aktionsradius des Protokolls wird hier also zum Vorteil, und eine Lokalisierung über größere Entfernungen hinweg ist nicht möglich.“
Wow, ich muss also in der Nähe des z.B. zu ortenden iPhone sein, damit ich weiß wo es sich gerade befindet?!?
Das ist dann kein wirkliches Tracking mehr, wenn ich mich in „Sichtkontakt“ zum ortenden Objekt/Person befinden muss.
Das habe ich mir in dem Moment auch so gedacht!
Man kann sich alles schön reden.
Ich glaube du verstehst es nicht…
Beispielsweise könnte man auf Arbeit ein Gerät installieren welches im Pausenraum tracked, wer sich wann und wie lang dort aufgehalten hat.
Oder aufm Klo… XD
Nur das Google sowas auch die ganze Zeit macht. Winzige kleine weiße Tracker an den Decken in Geschäften zum Beispiel. Google kann so Genua sehen wer wie lange wo ist, beispielsweise im Supermarkt in welchem Gang. Das Handy selbst registriert die Info und gibt sie an Google weiter. Das funktioniert auch mit iPhones, wenn eine Google App läuft. Deshalb muss man sich unter iOS auch nicht wundern, warum so viele Anwendungen Bluetooth nutzen, obwohl es erstmal keinen Sinn macht ;)
Da kann hier Android ja ausgeschlossen sein, aber die Geräte selbst machen es umgekehrt. Und Nutzer werden nicht informiert. Oder bestimmt doch irgendwo in irgendwelchen AGBs.
Die geringe Distanz ist ja gerade der Vorteil von Bluetooth Beacons wenn es um die Ortung geht. Sichtkontakt ist da nicht nötig, oder siehst du immer deinen WLAN Access Point? Hauptsache ein Sensor erkennt dich.
Mal schnell einen Sensor im Pausenraum oder vor der Toilette angebracht, und schon kann man ziemlich gute Aussagen über Pausezeiten treffen…
Ganz schön krasse Panikmache.
Im Grunde können Hacker den Zustand erreichen, der auch gegeben ist, wenn ich AirDrop für Jeden aktiv habe. :D
Lustig, die Leute benutzen WhatsApp, Facebook und Google und bekommen jetzt wegen einer so unwichtigen Möglichkeit Panik gemacht?
@Denner
Wieso Panikmache? Weißt du was manche Arbeitgeber im Pausenraum oder Klo installiert haben.
Jedes Geschäft kann somit alle Kunden mit iPhone klar benennen. Ich finde es krass was für Lücken iOS hat. Alleine die letzten 2 Jahre.
Aber klar Android ist wie immer viel unsicherer.
Durch weglassen des Klinkenanschlusses haben alle Bluetooth auch immer aktiv zum Musikhören.
It’s not a bug, it’s a feature https://www.iphone-ticker.de/find-my-die-iphone-suche-findet-kuenftig-auch-freunde-und-vielleicht-den-schluesselbund-142182/
Dachte ich auch gleich…
Also ganz ehrlich, die Studie beinhaltet Tests mit 2 uralten Android Phones (2012/13), die zudem nur via BT 4.0 kommunizieren können. „Echtes“ BLE mit deutlich mehr Sicherheitsfeatures gibt es aber erst seit BT 4.2, sowas dann also repräsentativ für „alle Androiden sind sicher“ darzustellen, grenzt schon an unseriöses Verhalten.
Advertising Pakete werden normalerweise auch nur versendet, bis (ein) Gerät gekoppelt ist, danach im Normalfall nicht mehr. Sehe das auch nicht als problematisch an. Klar, den Inhalt könnte Apple definitiv beschränken, denn nicht alle Informationen sind notwendig für potenzielle Pairing Partner.
Ich habe mir einen Schnellzugriff für „BT aus“ erstellt, den ich benutze sobald ich meine AirPods rausnehme. WLAN hat genau das gleiche Problem, dass es ständig nach bekannten Netzen scannt und Kennungen aussendet. Auch nicht schön.
BTW, nicht wirklich tragisch, das eigentlich Thema Tracking wird an vielen anderen Stellen auch problemlos ermöglicht.
Naja, wir wollen ja Lautsprecher die immer auffindbar sind (AirPlay) und wollen auch ohne eine App zu starten sofort unseren Bildschirminhalt streamen (AppleTV). Das passiert nun mal im Broadcasting Protokoll und spamt das ganze netz voll mit Geräteinformationen. Wir könne auch einfach sagen: ich möchte die ganzen Features nicht und dann ist das Problem weg.