Sicherheitsforscher warnt
Unerkannt in Apples Netzwerk: AirTag-Nachbau kann unauffällig tracken
Schlechte Nachrichten für ein Produkt, das sich für Apples Marketing-Abteilung langsam aber sicher zu einer größeren Herausforderung entwickelt: Erste AirTag-Nachbauten können Apples Anti-Stalking-Schutzvorkehrungen ignorieren.
ESP32 und Powerbank: Der AirTag-Klon von Fabian Bräunlein
Dies behauptet der Sicherheitsforscher Fabian Bräunlein, der sich bereits im vergangenen Mai einen Namen mit einem aufwändigen AirTag-Eingriff machen konnte. Damals gelang es dem Berliner Hacker mit Hilfe seines selbst gebauten Trackers beliebige Daten über Apples „Wo ist?“-Netzwerk zu versenden. Eine selbst geschriebene Firmware kümmerte sich um die Kommunikation mit in der Nähe befindlichen iOS-Geräten, die die empfangenen Datenpakete ihrerseits an Apples Server weiterreichten – ifun.de berichtete.
Jetzt macht Bräunlein auf eine weitere Schwachstelle der Apple-Infrastruktur aufmerksam: Unabhängig von den vielen Sicherheitsvorkehrungen mit denen Apple seine drahtlosen Sachenfinder bislang ausgestattet hat (und ausstatten wird), soll es möglich sein AirTag-Klone zu betreiben, die diese vollständig ignorieren und so als Inkognito-AirTag betrieben werden können.
Mit ESP32 und Powerbank
Laut Bräunlein sei es Apple nicht möglich AirTag-Nachbauten von der Nutzung des „Wo ist?“-Netzwerkes auszuschließen. Dies würde Hackern ermöglichen eigene AirTags zu entwickeln, die keine der zusätzlichen Anti-Stalking-Schutzvorkehrungen implementieren müssten und sich dennoch auf die große Reichweite des „Wo ist?“-Netzwerkes verlassen könnten.
Der Prototyp lokalisierte seinen Standort 5 Tage unentdeckt
Da die Nachbauten ihre Kennung alle 30 Sekunden ändern würden, könnten diese auch nicht von Apples AirTag-Erkennung entdeckt werden, die Anwender vor mitreisenden AirTags warnen soll. Es scheint wahrscheinlich, dass erste AirTag-Nachbauten über kurz oder lang auf den einschlägigen China-Portalen zum Kauf angeboten werden.
Die Hintergründe hat Bräunlein, der seinen AirTag-Klon auf Basis eines ESP32 und einer Powerbank entwickelt hat, in diesem Blogeintrag zusammengefasst.
… wenn Apple Drittanbieter aussperren würde. Da reicht ein Eimer Popcorn schon gar nicht mehr aus.
Genau das Richtige für mein Fahrrad.
Exakt mein Gedanke. :D
Ja, das ist nicht gut. Ja, sowas sollte verhindert werden.
ABER, mMn. Nur „reißerisch“, weil es sich um Apple AirTags handelt.
Jeder kleine GPS-Tracker mit SIM kann unbemerkt jemanden untergeschoben werden, ohne viel Bastelarbeit und Fachkenntnisse.
So haben die bei Strg-F doch auch herausgefunden wo die Retouren von Nike hinkommen.
Also nichts ausergewöhnliches …
Ja ich verstehe daher das ganze Problem auch nicht so ganz. Mit einem gewöhnlichen GPS Tracker inkl. Sim habe ich auch nochmal ganz andere Möglichkeiten als Laienhafter Privatanwender. Gerade für Fahrräder bekommt man die Teile ja echt einfach. Man kann evtl. Sogar die Wege Aufzeichnen. Ich bekomme langsam das Gefühl, das Apple nie einen Stalking Schutz hätte einbauen sollen, dann hätte es evtl. Auch keinen interessiert.
Wo wir mal bei meiner Frage wären was es denn da für gute GPS Empfänger gibt. Will einen an das Fahrrad machen aber die meisten sind ja nicht wirklich zuverlässig. Abweichungen im Kilometerbereich inkl.
GPS kannst du halt auch nicht im Keller, Garagen oder Co orten
…die ich rief, die Geister, werd ich nun nicht los.
Zauberlehrling, Goethe
Wow Jeremi du kannst Zitate googlen! Sehr gebildet.
Peter du hast Vorurteile mit dem Namen Jeremy? Mensch du bist echt weiterentwickelt. Hast noch n Spruch mit Kevin parat?
„Ganz ruhig! Jetzt zählt jeder mal bis 100 und du Kevin, zählst einfach ganz oft bis 4!“
– Schule, Lehrer von Kevin
@Peter – der war klasse LOL
Wenn es jetzt noch einen geben würde, der ordentlich Aussieht, würde ich so einen für mein Fahrrad als Diebstahlschutz kaufen :)
Aber wenn der „airtag“ ständig seine kennung ändert, wie ordnet dann apple die einer ID zu um den standort weiter zu geben?
Also nix für ungut aber was hat das bitte mit den AirTags zu tun? Das Wo-Ist Netzwerk wurde halt für externe freigegeben. Dass man sich jetzt selbst auch Dinge bauen kann und diese dort einbinden kann ist doch gewollt. Dass es für diese dann andere Umsetzungen gibt ist doch auch recht selbsterklärend oder?
Genau so ist es.
Du hast so recht.Eigentlich ein gutes Beispiel, Apple ist diesmal dazu übergegangen und hat das Netzwerk für externe freigegeben damit es viele nutzen können. Was ist passiert es wird gezeigt dass man das ja missbrauchen kann und Apple da nichts machen kann bla bla bla „PR Desaster“ bla bla bla. Wenn Apple aber z.B. beim AppStore mit Sicherheit argumentiert und sagt dass man dass ja sonst missbrauchen könnte … dann heißt es dass das schon nicht passieren wird und das doch alles nicht so schlimm ist bla bla bla.
Also anscheinend kann Apple es ja nie richtig machen und wird immer nur kritisiert.
Dass Firmen nur kritisiert werden ist ja erst mal normal. Hier ist die Kritik halt maximal bescheiden gerichtet und das framing mit den AirTags ist halt maximal künstlich erzeugt. Klar kann man Apple hier vorhalten dass sie die Schnittstelle selbst wohl auch kontrollieren sollten (ist ja recht easy) und Spielregeln für deren Service aufsetzen sollten. Wie sie es ja für den App Store auch machen. Gleichzeitig kann man es ja auch wie hier dann aber auch den Herstellern/Entwicklern beim AppStore ermöglichen diesen nicht nutzen zu müssen um den endkunden erreichen zu können. Dass das möglich ist (und wie es für Apple umzusetzen ist) zeigt Apple ja beim Mac. Aber anderes Thema :D
Hat eigentlich nichts mit Airtags zu tun, sondern mit dem Wo ist-Netzwerk. Vanmoof z.B. hat’s eingebaut, DAMIT man/Vanmoof das gestohlene Fahrrad finden kann – das sollte eher nicht piepen bzw. allen iOS-Geräten in der Nähe melden…
Wo bleibt von Apple die Abschalten Funktion auf dem iPhone, damit man nicht weiterhin sein iPhone & Co. unfreiwillig dafür zu Verfügung stellen muss.
„Wo ist“ komplett deaktivieren. Schützt allerdings auch nicht vor einem 15 Euro GPS Tracker mit Mobilfunkmodem vom Chinaverbimseler.
Oder dem 39€ hundetracker aus dem Fressnapf
Pssst. Zerstöre nicht seine Illusionen
Glaub ich nicht.
dann werden eigene Geräte nicht gefunden, aber dass die Position anderer AirTags nicht weitergereicht wird ist denke ich eher nicht.
hast du es mal getestet oder steht das irgendwo?
..Kommentar sollte an @pazuzu
Das iPhone überträgt dann schlichtweg keine Daten mehr von und zu dem „Wo ist“ Netzwerk. Es kann damit dann allerdings auch nicht mehr selber über „Wo ist“ gefunden werden, wenn man es verliert. Und man kann keine fremden AirTags, die einem heimlich zugesteckt werden, deaktivieren.
Wobei AirTags sowieso nicht gut geeignet sind um fremde Personen zu tracken. Da sind selbst Tile oder Samsung SmartTags weniger auffällig. Oder halt ein kleiner GPS Tracker mit Mobilfunkmodul für unter 20€.
Ähm, die Funktion gibt es schon sehr lang!!! XD
Bluetooth ausschalten sollte da reichen, nach meiner kurzen Erfahrung / Test mit den AirTags.
dann gibt man zumindest selbst nichts mehr weiter, das hilft allerdings nicht viel, sofern noch genügend andere Geräte in Reichweite sind, die BT aktiviert haben.
Dann gibts endlich mal „Air-Tags“ um Sachen nach einem Diebstahl wieder zu finden ohne das diese vorher die Diebe warnen und abgeschaltet werden. Sehr gut :)
Auf Ali bekommt man gps tracker günstiger als die AirTags, daher finde ich das bashing total übertrieben.
https://de.aliexpress.com/item/4000348764389.html
GPS und AirTags sind zwei grundsätzlich verschiedene Technologien. Größter Unterschied ist die Akku Laufzeit bzw. Der von dem Akku/Batterie benötigte bauraum.
Periodisch über Bluetooth Low Energy mal ein Signal zu senden ist was anderes als ein GPS Signal zu empfangen, auszuwerten, den eigenen Standort per Mobilfunk zum nächst Gelegen Mast zu kommunizieren.
Typischerweise ist bei Solchen Signalen das senden auch noch Energiesparender als Empfangen, da die Signalverarbeitung viel Energie braucht.
Kleine, besonders kompakte GPS Tracker mit Mobilfunkmodul haben je nach Modell Akkulaufzeiten von wenigen Tagen bis einigen Wochen oder gar Monaten. An Positionen, wo Platz weniger eine Rolle spielt, kann man ein größes LiPo-Akkupack dranhängen und verlängert die Laufzeit auf ein Vielfaches. Selbst das von Erik genannte Beispiel für rund 17 Euro (inklusive Versand) genügt mit seinen 3 bis 4 Tagen Laufzeit um eine Person bis nach Hause oder ein Auto bis zum Stellplatz zu verfolgen.
Wer lieber einen reinen Bluetoothtracker haben möchte bedient sich bei Tile, Samsung etc.
Warum hört man eigentlich nix negatives über die Samsung SmartTags…
Vielleicht, weil Samsung nicht so darauf rumreitet supersafe zu sein und tolle Anti-Stalking-Funktionen zu haben?
Nope, weil es einfach keinen/kaum jemanden interessieren würde.
Oder weil Samsung Nutzer auch ohne Helm ins Bett dürfen. Wahrscheinlich haben die sich einfach beim Hersteller darüber informiert wofür die gedacht sind und nutzen sie dann auch dafür, bzw. beschweren sich nicht dass es nur so funktioniert wie es funktionieren soll.
Es geht hier doch nicht um Anwender, die vermeindliche Probleme bei der Benutzung haben. Sonder um Missbrauch von den Dingern, was erstmal rein gar nichts mit den regulären Nutzer oder deren Verständnis vom Produkt zu tun hat. Samsung ist allerdings medial uninteressant, entsprechend wenig interessiert es, das Missbrauch mit deren SmartTags noch einfacher ist.
Geräte, die man orten kann, kann man orten. Das gab es vor den airtags und gibt es immernoch. Tausende. Und stalken kann man auch ohne.
Eine Apple Find-My Api zur Anbindung anderer Systeme und mehr Geräte Klassen wären echt mal sinnvoll. Welcher Akkuschrauber und Werkzeugkasten gerade auf welcher Baustelle unterwegs ist, könnte man damit viel einfacher und Zeitsparender machen.
Gibt’s von Hilti…
Nein!!??? Man kann mit einem umgebauten AirTag illegale Sachen machen? Das ist ja ein Skandal. Geht auch sonst mit nichts anderem sowas.
War ne Marktlücke
Ja jeder könnt sich ja einen tracker kaufen welcher jemand stalkt
Die Sinnhaftigkeit der AirTags wird immer weniger.
Ich habe einen AirTag
– in meinem Fotorucksack
– in meinem Auto
– in meiner Laptoptasche
– an meinem Fahrrad
Jetzt kann jeder Dieb die AirTags sofort deaktivieren. Wie doof ist Apple?
Ich weiß, die AirTags sind für die Schussel, die gerne ihre Schlüssel suchen.
Dennoch verwende ich die AirTags wie oben beschrieben.