• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung

Jan Gruber

Chefredakteur Magazin und Podcasts
AT Administration
AT Redaktion
Registriert
01.11.16
Beiträge
15.030
iPhone12Pro_blue-700x401.jpg


Jan Gruber
Im Rahmen der diesjährigen Def Con sind auch wieder Apple Geräte Ziel von findigen Sicherheitsforschern. Dieses Jahr wurde ein interessanter Bluetooth LE Hack gezeigt.

Das Team um Jae Bochs sorgte bei der diesjährigen Def Con für Aufsehen. Sie bewiesen, dass selbst das Abschalten von Bluetooth nicht immer schützt. Überraschend: Mit „Bluetooth Low Energy“ gaukelten sie iPhones vor, ein Apple TV zu sein. Während der Konferenz beobachteten sie, wie Besucher:innen aufgefordert wurden, Passwörter preiszugeben.

Ein kostengünstiges, effektives Gerät


Ein Raspberry Pi Zero 2 W bildete das Herzstück des Versuchsaufbaus. Angebracht waren ein Bluetooth-Adapter, Antennen und eine Batterie. Dieses Setup erreichte 15 Meter Reichweite. Ihre Taktik: Sie nutzten Apples Bluetooth-Kommunikation zwischen Geräten. Während sie umhergingen, sandten sie Passwortanfragen für ein scheinbares Apple TV.

Def Con: Die Bedeutung des Experiments


Obwohl es nur eine Demonstration war, zeigt sie ein ernstes Problem auf. Diese Schwachstelle ist seit 2019 bekannt. Potenzielle Betrüger:innen könnten so Telefonnummern, Apple IDs oder Wi-Fi-Netzwerkdaten erlangen. Bochs ist skeptisch, dass Apple diese Lücke bald schließt. Für ihn ist klar: Hier ist auch der gesunde Menschenverstand gefragt. Besonders in unauffälligen Momenten, etwa wenn AirPods während des Trainings nach einem Passwort fragen, sollte man vorsichtig sein. Ob und wie die Lücke aktiv ausgenutzt wird ist unklar - die Chance dass dem so ist, ist eher gering.

[su_youtube url="https://www.youtube.com/watch?v=xaCPLY-RyXE"]

Via YouTube

Den Artikel im Magazin lesen.
 

_macminimal

Oberdiecks Taubenapfel
Registriert
11.11.14
Beiträge
2.753
Wenn ich irgendwo (!) also nicht zH bin und mein iPhone ein ATV findet... selbst wenn keine PWabfrage käme, wüsste ich nicht warum ich mich damit verbinden sollte (wollen würde könnte). Und wenn eine PWabfrage an mich bzgl dieses fremden ATV gerichtet worden wäre, welches PW hätte ich eingeben können/sollen/wollen? Das meiner anders heißenden ATVs von zH?

Kapiere ich nicht. Mit anderen Worten, es handelte sich um eine Art Phishing über BTLE... ich überlege gerade, wie man mir so glaubhaft ein PW für was auch immer entlocken sollte...

Ok, die Täter könnten sich neben mein Haus/Wohnung/Auto stellen und (m)ein(e) ATVs imitieren um das VerbindungsPW zu bekommen... wobei ich sagen muss, das diese PW-Abfrage an einem ATV glaube ich ein Mal (ganz am Anfang, bei der ersten Verbindung) kommt.

Naja, cooles Hacker-Zeugs auf jeden Fall. ;)