„Roter Alarm“ kommt von einem billigen Gerät, das immer noch das iPhone-Passwort hacken kann

Vor einigen Tagen erhielten die iPhones der Besucher einer Hackerkonferenz in Las Vegas (USA) immer wieder Anfragen, sich mit einem virtuellen Apple TV zu verbinden.

Es stellte sich heraus, dass das „Apple TV“, das mit diesen iPhones synchronisiert werden sollte, ein selbstgebautes Bluetooth-Gerät war, das nur etwa 70 Dollar kostete.

Der Täter dieses Streichs, der Hacker Jae Bochs, erklärte seine Idee, die darin bestand, auf eine schwerwiegende Sicherheitslücke aufmerksam zu machen, von der er hofft, dass Apple sie schnell beheben wird:

„Wenn der Benutzer (iPhone) mit der Anfrage interagiert und das andere Ende so eingerichtet ist, dass es auf überzeugende Weise antwortet, könnte das Gerät meiner Meinung nach das Ziel dazu bringen, verschiedene Passwörter preiszugeben.“

Herr Bochs sagte außerdem, dass das Gerät aus Komponenten im Gesamtwert von 70 Dollar gebaut wurde, darunter ein Raspberry Pi Zero 2W-Computer, zwei Antennen, eine Batterie und ein Linux-kompatibler Bluetooth-Chip.

Der Kern des Hacks lag in der mangelnden Sicherheit der BLE-Funktion (Bluetooth Low Energy), die es Apple-Geräten ermöglicht, sich über Bluetooth miteinander zu verbinden.

Laut Herrn Bochs sollten iPhone- und andere Apple-Produktnutzer der Control Center-Anwendung nicht zu sehr vertrauen, bis die oben genannte Sicherheitslücke vollständig behoben ist.

Um Bluetooth auf dem iPhone, iPad oder MacBook vollständig auszuschalten, können sich Apple-Benutzer nicht auf den scheinbar praktischen Umschaltknopf im Kontrollzentrum verlassen, sondern müssen stattdessen auf die Einstellungen zugreifen.

Dadurch wird tatsächlich verhindert, dass ihre Geräte mit anderen Bluetooth-Geräten in der Nähe interagieren, beispielsweise mit gefälschten Apple-Geräten von Hackern.