Sicherheitslücke in Airdrop: Forscher der TU Darmstadt bestätigen Risikofaktor
Airdrop ist eine praktische Funktion, die allerdings eine erhebliche Sicherheitslücke aufweist. Die Lücke ist bereits seit 2019 bekannt, doch Apple hat sich nie dazu geäußert. Nun haben Forscher der TU Darmstadt selbst eine Lösungsmethode entwickelt.
Das Prinzip von Airdrop ist sowohl simpel, als auch bequem. Möchte man Dateien, Fotos, Links, Musik oder Videos mit einem anderen Apple-Gerät in der Nähe teilen, müssen nur Bluetooth und WLAN auf beiden Geräten aktiviert sein. AirDrop findet sie dann automatisch und per Knopfdruck kann man die Daten versenden. Möglich ist das nicht nur auf dem iPhone, sondern auch auf dem iPad, dem Mac, dem MacBook und dem iPod. Nutzer vertrauen darauf, dass sie auch während des Teilvorgangs vor potenziellen Angreifern geschützt sind. Doch dem ist scheinbar nicht so, wie Forscher der TU Darmstadt propagieren: Sie haben bei Versuchen eine Sicherheitslücke in AirDrop gefunden und auch gleich eine Lösung entwickelt. Apple reagiert leider nicht darauf.
Airdrop anfällig für Hackerangriffe
Wer ein Apple-Gerät besitzt, hat grundlegend drei verschiedene Einstellungen zur Auswahl, wie Airdrop konfiguriert werden kann. Zum einen kann die Funktion komplett deaktiviert werden, zum Beispiel, weil man sie ohnehin nie nutzt oder um Strom zu sparen. Zum anderen kann eingestellt werden, dass Airdrop alle Geräte in der Nähe findet, die ebenfalls Airdrop, Bluetooth und WLAN aktiviert haben. Dies ist dann unabhängig davon, ob die Kontakte der gefundenen Geräte im eigenen Adressbuch aufgeführt sind, oder nicht. Die dritte Einstellung ist zugleich die standardmäßig aktivierte Option: Demnach können Daten nur mit Geräten ausgetauscht werden, wenn sich deren Eigentümer im Adressbuch befinden. Außerdem wird die eigene Sichtbarkeit für andere Nutzer davon beeinflusst.
Die letzte Funktion funktioniert, indem automatisch ein Authentifizierungsverfahren genutzt wird. Dieses gleicht die Kontaktdaten der Eigentümer von allen in der Nähe befindlichen Geräten mit dem Adressbuch ab. Stimmen sie überein, ist das fremde Gerät sichtbar und man selbst ebenfalls. Dabei bedient sich Apple einem Verschlüsselungsverfahren, das sich Hash nennt. Doch genau dieses Verfahren ist problematisch, da es nicht sicher und anfällig für Brute-Force-Angriffe ist. Einfach gesagt: Wenn Airdrop aktiv ist, reicht es, wenn sich ein Angreifer in der Nähe des eigenen Gerätes befindet und selbst ein Gerät mit WLAN-Verbindung bei sich hat. Dann kann er Daten wie den Namen und die Handynummer abrufen.
Eigentlich war Apple bereits 2019 auf diese Sicherheitslücke hingewiesen worden, die sich in Airdrop tummelt. Solange ist es her, dass Forscher der TU Darmstadt die potenzielle Gefahr erstmals entdeckten. Damals hat sich das Unternehmen weder geäußert, noch die Sicherheitslücke bestätigt oder eine Lösung des Problems in Aussicht gestellt. Nun haben die Forscher der TU Darmstadt selbst eine Lösung entwickelt, indem sie einen Kryptocode verfasst haben, welcher als Alternative zu Hash dienen soll. Apple hat sich auch dazu noch nicht zu Wort gemeldet. Alternativ empfehlen die Forscher, Airdrop deaktiviert zu lassen, solange man die Funktion nicht benötigt.
Das könnte dich auch interessieren
Weitere Geschichten aus Apple.
Neue unpatchbare BootROM-Lücke trifft Apple-Geräte mit A12- und A13-Chips
Die Forschergruppe Paradigm Shift hat usbliter8 vorgestellt, eine Hardware-Schwachstelle, die den Startprozess bei mehreren Apple-Modellen angreift. Da der Fehler im Chipsatz liegt, gibt es keinen Software-Patch.
iOS 27: Jede Menge Performance-Optimierungen für das iPhone
Apple hat sich auf die Performance-Optimierungen bei iOS 27 konzentriert. Das Update macht App-Starts, AirDrop und die Fotos-App spürbar schneller und unterstützt Geräte ab dem iPhone 11.
Beats Studio Buds: Firmware-Update schließt kritische Mikrofon-Sicherheitslücke
Apple hat ein dringendes Firmware-Update für die Beats Studio Buds veröffentlicht. Es behebt eine kritische Sicherheitslücke, die Angreifern das Abhören über das Mikrofon ermöglichte.
Instagram-Bug offenbarte private Daten von Zuckerberg und Mbappé
Ein Programmierfehler im Passwort-Reset-Tool von Instagram gab am 6. Juni 2026 private E-Mail-Adressen und Telefonnummern preis. Meta reagierte schnell mit einem Notfix, doch die Risiken für die Betroffenen bleiben hoch.
NameDrop: Kontaktdaten austauschen mit iPhone und Apple Watch
Die proximity-basierte Kontaktübertragung entfällt das mühsame Abtippen von Telefonnummern: Zwei Apple-Geräte nah aneinander halten, und die Kontaktdaten werden automatisch übertragen. Das persönliche Profil lässt sich über den Contact Poster anpassen, wobei die Datenauswahl granular steuerbar ist. Bei Störungen durch andere Naherfassungsfunktionen hilft ein Geräte-Neustart; eine vollständige Deaktivierung ist über die AirDrop-Einstellungen möglich.
Anthropic Mythos hilft Calif-Team bei macOS-Exploit auf M5-Chip
Das Security-Team Calif hat mit Hilfe von Anthropics KI-Modell Mythos Preview in nur fünf Tagen einen Kernel-Exploit für macOS auf M5-Hardware entwickelt und Apples MIE-Schutz umgangen.
Kommentare
Sei der Erste, der hier kommentiert.
Du musst angemeldet sein, um zu kommentieren.