Find You: Airtag-Klon umgeht Apples Sicherheitsmechanismen

Apples Airtags können dazu verwendet werden, Dinge wiederzufinden, die man verloren hat - sie können aber auch dazu verwendet werden, fremde Dinge oder deren Besitzer unbemerkt zu verfolgen. Damit das nicht so einfach ist, hat Apple Sicherheitsmechanismen implementiert. Doch diese lassen sich mit einem Airtag-Klon aushebeln, wie der Forscher Fabian Bräunlein demonstriert.

Mit dem von ihm gebauten Stealth-Airtag konnte der Forscher einen iPhone-Nutzer mit dessen Zustimmung fünf Tage lang verfolgen, ohne dass eine Tracking-Benachrichtigung ausgelöst wurde. Bräunlein wünscht sich von Apple, dass das Unternehmen auch solche nachgebauten oder manipulierten Airtags in sein Bedrohungsmodell aufnimmt und entsprechende Sicherheitsmechanismen in das Find-My-Protokoll und -Ökosystem implementiert, statt auf Hard- und Software der Airtags zu setzen, die manipuliert werden können.

Der Airtag-Klon besteht hardwareseitig aus einem ESP32-Mikrocontroller, einer Powerbank und einem USB-Kabel. Damit sei der Airtag-Klon sogar billiger als die Airtags von Apple, schreibt der Forscher. Softwareseitig nutzt er Openhaystack, eine am Secure Mobile Networking Lab (Seemoo) der TU Darmstadt mittels Reverse Engineering entwickelte Open-Source-Implementierung des Find-My-Netzwerkes.

Airtag-Klon gibt sich als Tausende Airtags aus

Allerdings gibt sich der Airtag-Klon durch wechselnde Schlüssel immer wieder als ein neuer Airtag aus. In einem Test generierte Bräunlein 2.000 Schlüssel, mit denen sich der Klon alle 30 Sekunden als ein anderer Airtag ausgab. Die Schlüssel und damit die erkannten Airtags wiederholten sich erst alle 17 Stunden. Auf diese Weise war es Bräunlein problemlos möglich, den erwähnten iPhone-Nutzer zu tracken, ohne dass diesem eine Warnung angezeigt wurde.

Für eine Abfrage der Standortdaten werde ein Apple-Konto benötigt, schreibt Bräunlein. Allerdings könne dieses auf Basis einer anonymen E-Mail-Adresse registriert werden. Der Openhaystack-Client sei in der Praxis jedoch nicht darauf ausgelegt, Tausende von Tags zu verwalten - Apple selbst erlaube offiziell sogar nur 16. Daher habe er ein paar Optimierungen vorgenommen und die Standortberichtsanfragen für verschiedene Geräte in einer HTTP-Anfrage kombiniert.

Die entsprechende Firmware und die Anwendung zum Abrufen der Standorte wurde auf Github veröffentlicht. Das Python-Skript, um die Schlüsselpaare im korrekten Format zu generieren, habe er jedoch absichtlich weggelassen.

Apples Schutzmaßnahmen laufen ins Leere

Ursprünglich piepste ein Airtag, wenn er sich drei Tage nicht in der Bluetooth-Reichweite des gekoppelten Apple-Gerätes befand. Im Juni 2021 reduzierte Apple die Zeit auf ein zufälliges Zeitfenster zwischen 8 und 24 Stunden. Doch der Airtag-Klon verfügt gar nicht über einen Lautsprecher und kann daher überhaupt nicht Piepsen. Ähnliches ist auch bei sogenannten Silent Airtags der Fall, bei denen es sich um modifizierte Airtags handelt, bei denen der Lautsprecher deaktiviert wurde. Diese werden unter anderem auf Ebay angeboten.

Ähnliches gilt auch für die Benachrichtigung, die - sofern aktiviert - ausgegeben wird, wenn ein Airtag oder anderes Find-My-Netzwerk-Zubehör dabei gesehen wird, wie es sich mit einem iPhone mitbewegt. Doch für das Find-My-Netzwerk handelt es sich bei dem Airtag-Klon nicht um einen mitreisenden Airtag, sondern immer wieder um neue Airtags, die in der Umgebung auftauchen.

Wird unter iOS ständig nach mitreisenden Airtags gesucht, muss mit Apples Android-App Tracker Detect manuell gescannt werden. Doch auch hier taucht der Airtag-Klon nicht auf, da die App mehrere Beacons pro Airtag abwartet, um keinen Fehlalarm durch vorbeifahrende Airtags zu produzieren. Einzig die ebenfalls an der TU Darmstadt entwickelte Android-App Airguard (F-Droid, Play Store) meldet die Airtags, allerdings jedes einzelne. Auch mit Apples geplanten weitergehenden Stalking-Schutzmaßnahmen werde sich daran vermutlich nichts ändern, konstatiert Bräunlein.

Ohnehin finde er es amüsant, dass Apple damit werbe, das allererste proaktive System entwickelt zu haben, das seine Nutzer vor unerwünschtem Tracking warne, meint Bräunlein. Denn Apple habe das Tracking-System, vor dem es nun zu schützen vorgebe, ja selbst ins Leben gerufen. Das Unternehmen habe dieses in eine Welt gebracht, in der - mit den Worten Apples - "unerwünschte Verfolgung seit langem ein gesellschaftliches Problem ist".