Teilnehmer der Hacking-Konferenz DefCon in Las Vegas am vergangenen Wochenende erhielten auf ihren iPhones immer wieder mysteriöse Aufforderungen, sich mit einem Phantom-Apple TV zu verbinden, das nirgends zu sehen war.
Es stellte sich heraus, dass die Nachrichten – die wie ein in der Nähe befindliches Apple TV aussahen, das um Erlaubnis zur Synchronisierung mit der Apple-ID oder ihren passwortgeschützten Konten der Benutzer bat – in Wirklichkeit von einem selbstgebauten 70-Dollar-Sender stammten, der die Bluetooth-Sicherheit von Apple austricksen sollte.
Einige der Software-Sicherheitsexperten, die von dem Streich auf der Konferenz betroffen waren, sagten, sie fühlten sich „missbraucht“, während andere ihn für „urkomisch“, aber „höllisch nervig“ hielten.
Der Täter, ein Mitteilnehmer der DefCon, hat sich gemeldet, um seine Absicht zu erklären: die Aufmerksamkeit auf eine schwerwiegende Sicherheitslücke zu lenken, von der sie hoffen, dass Apple sie beheben wird.
„Wenn ein Benutzer mit den Eingabeaufforderungen interagieren würde und wenn die andere Seite darauf eingestellt wäre, überzeugend zu reagieren, könnte man meiner Meinung nach das „Opfer“ dazu bringen, ein Passwort zu übertragen“, sagte der Witzbold, ein Sicherheitsforscher namens Jae Bochs in den sozialen Medien.
Bis Apple die Schwachstelle behebt, besteht laut Bochs die beste Vorgehensweise für iPhone-Benutzer oder alle Benutzer von Apple-Produkten darin, vorsichtig zu sein, wenn sie der Funktion „Control Center“ auf jedem Gerät mit iOS vertrauen.
Teilnehmer der Hacking-Konferenz DefCon 2023 erhielten immer wieder mysteriöse Eingabeaufforderungen auf ihren iPhones. Die Nachrichten, die wie ein in der Nähe befindliches Apple TV aussahen, das um Erlaubnis zur Synchronisierung mit ihren passwortgeschützten Konten bittet, stammten tatsächlich von einem improvisierten 70-Dollar-Sender (oben).
Einige der von dem Streich betroffenen Software-Sicherheitsexperten sagten, sie fühlten sich „missbraucht“, während andere es für „urkomisch“, aber „höllisch nervig“ hielten. Die Täter hofften, eine Sicherheitslücke aufzuzeigen, von der sie hofften, dass Apple sie beheben würde. Oben: Besucher der DefCon 2011 in Las Vegas
Bochs zeigte sich ihrerseits reuelos und schrieb auf der dezentralen Social-Media-Plattform Mastodon: „Freut mich, dass ich jedem Tag ein wenig harmloses WTF hinzufügen konnte.“
„Um etwas Beruhigung zu bieten“, schrieb Bochs auch, „wurde dies mit zwei Zwecken gebaut – um die Leute daran zu erinnern, Bluetooth *wirklich auszuschalten* (also nicht vom Kontrollzentrum) und um Spaß zu haben.“
Um Bluetooth auf einem iPhone, iPad oder MacBook vollständig auszuschalten, können Apple-Benutzer nicht auf den scheinbar praktischen Schalter im Control Center vertrauen, dem Schnellzugriffsfeld von iOS, das Benutzern durch einfaches Wischen zur Verfügung steht.
Stattdessen müssen Benutzer in ihren Einstellungen nach dem vollständigen Bluetooth-Menü suchen, um wirklich zu verhindern, dass ihr Gerät mit anderen Bluetooth-Geräten in der Nähe interagiert, wie zum Beispiel dem gefälschten Apple TV des Hackers.
Bochs sagte gegenüber TechCrunch, dass sie das Gerät aus einem Standardgerät gebaut hätten Raspberry Pi Zero 2 W, ein tragbarer Akku, zwei Antennen und ein Linux-kompatibler Bluetooth-Adapter.
Die Gesamtkosten beliefen sich nach Schätzungen von Bochs auf etwa 70 US-Dollar.
Der Kern des Hacks, erklärte Bochs, sei die laxe Sicherheit, die in Apples aktuellen Protokollen für Bluetooth Low Energy (BLE) codiert sei und es jedem Apple-Gerät ermöglicht, zu versuchen, sich über Bluetooth mit anderen Apple-Geräten in der Nähe zu verbinden.
Apple bezeichnet diese als „Proximity-Aktionen“, da die Absicht darin besteht, Benutzern, die Geräte in der Nähe synchronisieren möchten, mehr Komfort zu bieten, beispielsweise zwei Freunden mit iPhones in einer Bar oder einem iPhone-Benutzer, der sein Apple TV oder seine drahtlosen Heimlautsprecher steuern möchte.
„Die Nähe wird durch die BLE-Signalstärke bestimmt, und die meisten Geräte verwenden absichtlich eine verringerte Sendeleistung, um die Reichweite kurz zu halten“, sagte Bochs und fügte hinzu: „Das tue ich nicht :)“
Die Reichweite des improvisierten, gefälschten Apple TV von Bochs für 70 US-Dollar erstreckte sich auf 50 Fuß, viel Platz, um ahnungslose DefCon-Besucher zu verführen, die in der Schlange für Veranstaltungen rund um das Kongresszentrum standen.
Normalerweise beträgt die BLE-Signalreichweite für ein iPhone etwa 33 Fuß, und für eine Apple TV-Box kann diese Zahl viel niedriger sein.
Das Gerät „erstellt ein benutzerdefiniertes Werbepaket, das nachahmt, was Apple TV usw. bei geringem Stromverbrauch ständig aussendet“, sagte der Sicherheitsforscher gegenüber TechCrunch. Dies ermöglicht es ihm, als zu posieren Apple-Gerät und lösen Pop-ups auf Geräten in der Nähe aus.
„Es werden keine Daten gesammelt“, sagte Bochs, „es werden lediglich BLE-Werbepakete verschickt, die keine Kopplung erfordern.“
Theoretisch könnte ein ähnliches Gerät jedoch in böswilliger Absicht persönliche Benutzerdaten sammeln – und angesichts der wachsenden Besorgnis über die bevorstehende NameDrop-Funktion des iPhones hofft Bochs, rechtzeitig zur DefCon im nächsten Jahr ein neues „Proof of Concept“-Gerät zu haben, das die Sicherheitslücken von NameDrop untersuchen wird .
NameDrop wurde für Apples iOS 17-Update im September dieses Jahres angekündigt und ist eine neue Funktion, die verspricht, die Weitergabe von Kontaktinformationen zu vereinfachen und sie so einfach wie das Zusammentippen zweier iPhones zu machen. Der zusätzliche Komfort birgt jedoch ein gewisses Risiko.
„Ich hoffe, dass es bis zum nächsten DC mit den neuen ‚NameDrop‘-Funktionen von iOS17 funktioniert und möglicherweise etwas Ähnliches für Android (zumindest bestimmte Modelle) macht“, sagte Bochs. „So oder so werde ich es wahrscheinlich für einen Vortrag einreichen.“
Die Teilnehmer der DefCon 2023 warnten sich gegenseitig über X (ehemals Twitter) vor dem gefälschten Apple TV.
Auf der DefCon, die zu den größten jährlichen Treffen von Hackern weltweit gehört, sind wilde Streiche kein Unbekannter, und einige lobten Bochs‘ Stunt als „ein paar OG #DEFCON-Spielereien“.
Trotz der Proteste von Teilnehmern ist die Konferenz häufig ein wichtiger Ort für Geheimdienste der Regierung, darunter die National Security Agency (NSA), die auf der Suche nach den besten und klügsten Cybersicherheits- und Penetrationsexperten sind.
Einige Teilnehmer äußerten dieses Jahr jedoch mehr Verwirrung und Besorgnis über den Bluetooth-Fehler von Apple, darunter Dan Guido, der CEO des Sicherheitsforschungsunternehmens Trail of Bits.
‘Ich finde [Bochs] hat eine Reihe von Benutzern missbraucht, als [they] sollte nehmen [their] Beschwerden an Apple“, sagte Guido gegenüber TechCrunch.
Aber andere, wie der iOS-Anwendungssicherheitsforscher, der online unter dem Namen NinjaLikesCheez bekannt ist, sahen darin einen Teil der großen DefCon-Tradition, Sicherheitslücken durch Erfahrung zu lehren und aufzudecken.
„Ich finde es urkomisch.“ „Es war höllisch nervig, hat mich aber auch daran erinnert, dass das Kontrollzentrum schlecht ist“, sagte der in den Niederlanden ansässige Programmierer.