Ein neuer Exploit, der an die Bluetooth-Konnektivität gebunden ist, ermöglicht die Verfolgung einiger Geräte, einschließlich der von Apple und Microsoft.
Gemäß ZDNet, Das Bluetooth-Kommunikationsprotokoll weist eine Sicherheitslücke auf, die es ermöglicht, nicht nur einige Geräte zu verfolgen, sondern auch Gerätebesitzer zu identifizieren. Die Entdeckung wurde von Forschern der Boston University gemacht.
Für Apple bedeutet dies, dass der Exploit die iPhones, Macs, iPads und sogar die Apple Watch nachverfolgen und identifizieren kann. Auf der Microsoft-Seite gehören Tablets und PCs dazu. Welche Geräte sind nicht enthalten? Googles Android.
Der erste Bericht beschreibt, wie alles funktioniert. Dies beginnt damit, dass Bluetooth-Geräte öffentliche Kanäle verwenden, um ihre Präsenz anderen Geräten zu präsentieren. Um eine Verfolgung auf dieser Grundlage zu verhindern, senden die meisten Geräte eine zufällige Adresse, die sich automatisch in zufälligen Intervallen ändert und sich von einer MAC-Adresse (Media Access Control) unterscheidet.
Dies geschieht immer noch auf Apple- und Microsoft-Geräten. Aus dem Bericht geht jedoch hervor, dass es möglich ist, Identifizierungstoken aufzudecken, mit denen einige böswillige Personen den Algorithmus zur Übertragung von Adressen missbrauchen können, der die Änderung der Adresse vorschreibt.
Laut dem Forschungsbericht zur Verfolgung anonymisierter Bluetooth-Geräte (.PDF) verwenden viele Bluetooth-Geräte MAC-Adressen, wenn sie für ihre Präsenz werben, um eine langfristige Verfolgung zu verhindern. Das Team stellte jedoch fest, dass es möglich ist, die zufällige Zuordnung dieser Adressen zu dauerhaft zu umgehen ein bestimmtes Gerät überwachen.
Identifizierungs-Token sind normalerweise neben MAC-Adressen vorhanden, und ein neuer Algorithmus, der von der Boston University entwickelt wurde und als Adressübertragungsalgorithmus bezeichnet wird, kann „die asynchrone Natur von Nutzlast- und Adressänderungen ausnutzen, um eine Verfolgung über die Adress-Randomisierung eines Geräts hinaus zu erreichen“.
Für Android wird nicht derselbe Ansatz für die Werbung für ein Bluetooth-Gerät verwendet wie für Apple und Microsoft. Infolgedessen ist Android von dieser besonderen Sicherheitsanfälligkeit nicht betroffen.
Das Forschungspapier selbst enthält Vorschläge, wie die Sicherheitsanfälligkeit gemindert werden kann. Möglicherweise wird Apple das Problem in naher Zukunft auf die eine oder andere Weise beheben.