iOS 13: Apple verbessert Schutz Eurer Kontaktdaten
Bei der Präsentation von iOS 13 wies Apple auch auf verbesserte Optionen zum Datenschutz hin. Dabei ändert das Betriebssystem auch eine kleine potenzielle Lücke bei den Kontakten, an die viele vermutlich gar nicht denken. Auch über "Find My" hat Apple mehr verraten.
Apples mobiles Betriebssystem iOS zwingt Apps dazu, Berechtigungen für den Zugriff auf verschiedene Systemfunktionen und Daten zu erfragen. So ist es in iOS 13 etwa möglich, einer App nur einmalig den Zugriff auf Standortdaten zu erlauben. Schon bisher ist es so, dass Apps, die die eigenen Kontakte lesen wollen, um Erlaubnis fragen müssen. Das machen etwa bekannte Apps wie WhatsApp.
Doch in iOS 13 dürfen Anwendungen trotz vergebener Berechtigungen nicht mehr alles lesen, was im Adressbuch steht, berichtet Tech Crunch. Das Notizfeld wird nämlich davon ausgenommen. Hier vermerken Anwender oft Dinge, die nicht für jedermann bestimmt sind. Apps, die die Kontaktdatenbank lesen können, können derzeit auch auf dieses Feld zugreifen, was ein potenzielles Sicherheitsrisiko darstellt.
Entweder, weil dort nicht für die Öffentlichkeit bestimmte Kommentare hinterlegt sind oder aber, weil Anwender dazu neigen, ihr Adressbuch als Ersatz für einen Passwortmanager zu nutzen und eventuell Zugangscodes oder Ähnliches hier hinterlegen.
Laut Apple brauchen die meisten Apps die Informationen aus dem Notizenfeld ohnehin nicht, sie sind also nicht von der Änderung betroffen, Ihr seid aber besser geschützt. Sollte eine App allerdings doch Zugriff benötigen, so soll es möglich sein, eine Ausnahmeerlaubnis zu erteilen.
Apple erklärt, wie "Find My" funktioniert
Gegenüber Wired hat Apple zudem Bedenken gegenüber der neuen "Find My"-App ausgeräumt, die es ermöglicht, Geräte auch zu finden, wenn diese offline sind. Denn Sicherheitsexperten hatten sich ziemlich schnell gefragt, ob sich diese Funktion missbrauchen ließe, um Nutzer zu überwachen.
Damit "Find My" funktioniert, senden Apple-Geräte Bluetooth-Signale. Die sollen aber verschlüsselt sein und müssen von einem zweiten Apple-Gerät entschlüsselt werden. Das zweite Gerät schickt die Daten dann an die Cloud, um den Standort abrufen zu können. Das Gerät, dass die Daten an die Cloud überträgt, muss nicht Euer eigenes sein. Trägt jemand ein gestohlenes MacBook in der nähe seines eigenen iPhones mit sich rum, so sendet auch dieses Smartphone die Daten.
Das bedeutet aber dennoch, dass Ihr die Funktion nur nutzen könnt, wenn Ihr ein zweites Apple-Gerät besitzt. Denn nur dieses zweite Gerät kann die verschlüsselten Signale lesen. Laut Apple hat auch die Firma selbst keine Möglichkeit, die Standortdaten zu entschlüsseln.
Habt Ihr die Beta von iOS 13 schon ausprobiert?
Quelle: Tech Crunch, Wired
Ein paar Fragen kommen mir da aber schon durch die "Find My" Erklärung:
- Wieso kann ein zweites, mir unbekanntes Apple Gerät das verschlüsselte Signal entschlüsseln? Wird hier ein symmetrischer Schlüssel verwendet? Oder liegen die asymetrischen Schlüssel auf allein iOS-Geräten vor? Beides wäre nicht wirklich sicher, spätestens beim nächsten Jailbreak wären die Schlüssel gefährdet. Oder verbindet sich das Apple Gerät bereits mit Apple, wenn es das verschlüsselte Signal erhält um einen Schlüssel zu erhalten?
- Wie oft sucht das "ausgeschaltete" Gerät andere iPhones zur Kommunikationsaufnahme? Lassen sich die Bluetooth Signale von anderen zur Verfolgung des Geräts verwenden?
- Wie viel Datenmenge produziert das bei dem Sender-Handy? Im Zweifel können ja mehrere Apple Geräte in der Umgebung das Handy als "Transmitter" benutzen.
Der Sinn hinter der Geschichte ist, dass bspw. ein gestohlenes MacBook dem eigentlichen Besitzer mitteilt, wo es sich gerade befindet. Wie soll das anders funktionieren, wenn der Schlüssel nicht von einem anderen Gerät entschlüsselt werden kann? Schließlich muss das Gerät ja wissen, an wen es die Daten des gestohlenen MacBooks senden muss...
Wie sicher diese Schlüssel vor bspw. Jailbreak geschützt sind, steht da natürlich auf einem anderen Blatt aber ich sehe ehrlich gesagt keine andere Möglichkeit, als so.
So wie ich das verstanden habe, sind das nur extrem kleine Datenpakete, die dabei verschickt werden.
Ok, nach lesen des Wired Artikels habe ich den Ansatz schon deutlich besser verstanden. Die Beschreibung hier ist ... sagen wir mal lückenhaft.
Auch bei der Beschreibung von Wired sehe ich noch das eine oder andere Risiko, aber der Ansatz an sich ist schon nicht schlecht. Letztendlich ist es wie der dort zitierte Sicherheitsexperte sagt: Alles bekannte Mechanismen, aber noch keiner hats bei einer so großen Menge von Geräten produktiv ausgebracht.
Interessant wird noch, wie die Kommunikation zwischen dem gestohlenen Gerät und dem sendenden Gerät wirklich abläuft, das hat Apple zumindestens im Wired Artikel nicht erklärt. Aber spannend ist das Thema auf jeden Fall.
Ich warte lieber auf die finale Version.
Ich schenke Dir ein "r".
Nehmen wir dankend an.