{"id":156671,"date":"2020-07-14T11:33:32","date_gmt":"2020-07-14T09:33:32","guid":{"rendered":"https:\/\/www.ifun.de\/?p=156671"},"modified":"2020-07-16T08:56:06","modified_gmt":"2020-07-16T06:56:06","slug":"continuity-war-schuld-apple-geraete-senden-sensible-daten-via-bluetooth","status":"publish","type":"post","link":"https:\/\/www.ifun.de\/continuity-war-schuld-apple-geraete-senden-sensible-daten-via-bluetooth-156671\/","title":{"rendered":"Continuity war schuld: Apple-Ger\u00e4te via Bluetooth zu gespr\u00e4chig"},"content":{"rendered":"

Was Apple im Englischen schlicht mit „Continuity“ beschreibt, ist im deutschen Supportbereich etwas sperrig mit „Integrationsfunktionen“ \u00fcberschrieben, meint aber die selben Werkzeuge<\/a>, die es m\u00f6glich machen, nahtlos zwischen Mac, iPhone, iPad und Apple Watch zu wechseln beziehungsweise diese zusammen zu benutzen.<\/p>\n

\"Discontinued<\/a><\/p>\n

Apples Implementierung gab viele Daten preis<\/h6>\n

Damit Handoff, AirDrop, die geteilte Zwischenablage, der Instant Hotspot oder die ger\u00e4te\u00fcbergreifende Markieren-Funktion<\/a> fl\u00fcssig funktionieren, kommunizieren fast alle Apple-Ger\u00e4te permanent via WLAN und Bluetooth miteinander, versichern sich ihrer Gegenw\u00e4rtigkeit und stimmen sich kontinuierlich miteinander ab. Apple setzt daf\u00fcr auf das selbst entwickelte Continuity-Protokoll.<\/p>\n

Dass dieses lange Zeit alles andere als sicher war, zeigt eine Ver\u00f6ffentlichung mehrerer Security-Forscher des franz\u00f6sischen INSA-Institutes, die aus Anlass des 20. Privacy Enhancing Technologies Symposium<\/a> in Montreal vorgestellt wurde.<\/p>\n

In ihrem Paper „Personal Data Leaks in Apple Bluetooth-Low-Energy Continuity Protocols“ (PDF-Download<\/a>) dokumentieren die Forscher mehrere Schwachstellen, die bereits im vergangenen Jahr ausgemacht und im Rahmen einer verantwortungsvollen Offenlegung<\/a> mit Apple, Osram und Eve geteilt wurden.<\/p>\n

Apples Verschwiegenheit mitverantwortlich<\/h2>\n

In ihrem Paper kritisieren die Forscher dabei auch Apples Verschwiegenheit. Da das Unternehmen die Arbeitsweise des Continuity-Protokolls nicht offengelegt habe, h\u00e4tte man dieses erst durch umfangreiches Reverse Engineering r\u00fcckverfolgen m\u00fcssen, um anschlie\u00dfend auf die Schwachstellen einzugehen. Diese waren jedoch stattlich.<\/p>\n

Mehrere schwerwiegende Sicherheits- und Datenschutzm\u00e4ngel wurden k\u00fcrzlich in den Kontinuit\u00e4tsprotokollen von Google und Apple aufgedeckt. In allen F\u00e4llen waren die Spezifikationen nicht \u00f6ffentlich, und die Autoren mussten sich auf Reverse-Engineering verlassen, um das System zu verstehen, bevor sie die Schwachstellen identifizieren konnten. Dies ist ein weiterer Beweis daf\u00fcr, dass Sicherheit durch Unklarheit nicht funktioniert. Dies zeigt auch, dass selbst Unternehmen mit erweiterten Ressourcen und engagierten Sicherheits- und Datenschutzteams sich nicht nur auf eine interne \u00dcberpr\u00fcfung ihrer Systeme verlassen k\u00f6nnen, um solche Probleme zu vermeiden.<\/p><\/blockquote>\n

Unter anderem fanden die Forscher Wege die zwischen den Ger\u00e4ten ausgetauschten
\nContinuity-Nachrichten f\u00fcr das ein passives Nutzer-Tracking einzusetzen, stellen einen aktiven Angriff vor, der Anwender und verkn\u00fcpfte Ger\u00e4te des selben iCloud-Accounts ausmachen konnte, waren in der Lage Ger\u00e4te-Merkmale (Modell, iOS-Version, Farbe etc.) und Statusinformationen zu extrahieren sowie HomeKit-Nachrichten auszuwerten.<\/p>\n

Unter den Highlight finden sich folgende Erkenntnisse:<\/p>\n

We show that messages broadcasted by HomeKit accessories include a Global State Number (GSN) that leaks the activity in a smarthome. We discover that AirDrop and Nearby Action messages include hashed e-mail addresses and phone numbers, and we demonstrate how they can be recovered through a guesswork attack. We found that Siri messages include a perceptual hash of voice commands and demonstrate how it can be exploited to infer a command.<\/p><\/blockquote>\n

\"Continuity<\/a><\/p>\n

<\/p>\n","protected":false},"excerpt":{"rendered":"\"Discontinued<\/a>

Was Apple im Englischen schlicht mit „Continuity“ beschreibt, ist im deutschen Supportbereich etwas sperrig mit „Integrationsfunktionen“ \u00fcberschrieben, meint aber die selben Werkzeuge, die es m\u00f6glich machen, nahtlos zwischen Mac, iPhone, iPad und Apple Watch zu wechseln beziehungsweise diese zusammen zu benutzen. Apples Implementierung gab viele Daten preis Damit Handoff, AirDrop, die geteilte Zwischenablage, der Instant […]<\/p>\n","protected":false},"author":1,"featured_media":156673,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1,1783],"tags":[4736,149,990,88,92],"class_list":["post-156671","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-news","category-feature","tag-apple","tag-bluetooth","tag-datenschutz","tag-security","tag-sicherheit"],"acf":[],"aioseo_notices":[],"subheadline":["Paper ver\u00f6ffentlicht"],"featured_image":["https:\/\/images.ifun.de\/wp-content\/uploads\/2019\/07\/datenschutz-apple.jpg"],"rest_api_enabler":{"subheadline":"Paper ver\u00f6ffentlicht","featured_image":"https:\/\/images.ifun.de\/wp-content\/uploads\/2019\/07\/datenschutz-apple.jpg"},"_links":{"self":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/156671","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/comments?post=156671"}],"version-history":[{"count":2,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/156671\/revisions"}],"predecessor-version":[{"id":156722,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/posts\/156671\/revisions\/156722"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media\/156673"}],"wp:attachment":[{"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/media?parent=156671"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/categories?post=156671"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ifun.de\/apiv2\/wp\/v2\/tags?post=156671"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}