AirTag

„Wo ist?“ – eine Apple-App, die alle finden kann

Apples „Wo ist?“-Netzwerk kann ausgenutzt werden, um Android-, Windows- und Linux-Geräte anderer Hersteller aus der Ferne zu verfolgen

Stan Kaminsky
3 Apr 2025

AirTags sind beliebte und sehr praktische Tracking-Geräte. Zum Beispiel, um einen verlegten Schlüsselbund wiederzufinden. Allerdings gibt es auch böswillige Szenarien, man denke nur an eifersüchtige Ehepartner oder Autodiebe. Mit AirTags wird Spionieren zum Kinderspiel: Ein Tag wird heimlich am Zielobjekt angebracht, und schon lassen sich die Bewegungen bequem mit Apples „Wo ist?“ überwachen. Wir haben den Schutz vor AirTag-basiertem Tracking sogar zu unseren Produkten für Android hinzugefügt.

Eine aktuelle Sicherheitsstudie hat jedoch etwas Überraschendes gezeigt: Für das Remote-Tracking ist nicht einmal der Kauf eines AirTags oder die physische Nähe zum Zielobjekt erforderlich. Es reicht schon, spezielle Malware auf das Windows-, Android- oder Linux-Gerät (egal, ob Computer oder Telefon) einer Person zu schmuggeln, schon kann ein Bösewicht über das Bluetooth des Geräts ein Signal senden, das Apple-Geräte in der Nähe für ein AirTag-Signal halten. Ein infiziertes Telefon oder ein Computer wird für Apple-Geräte sozusagen zu einem gigantischen AirTag und kann über das Wo ist?-Netzwerk getrackt werden. Und dieses Netz umfasst über eine Milliarde Apple-Telefone und -Tablets.

Anatomie des Angriffs

Der Angriff nutzt zwei Funktionen der Wo ist?-Technologie aus.

Zum einen verwendet das Netzwerk eine Ende-zu-Ende-Verschlüsselung. Die Teilnehmer wissen also nicht, wessen Signale sie weiterleiten. Der Informationsaustausch zwischen einem AirTag und dem Telefon des AirTag-Besitzers beruht auf einem Paar kryptografischer Schlüssel. Wenn ein verlorener AirTag seine „Rufzeichen“ über Bluetooth sendet, übertragen die „Detektoren“ des „Wo ist?“-Netzwerks (also jedes Apple-Gerät mit Bluetooth und Internetzugang, unabhängig vom Eigentümer) die Geolokalisierungsdaten des AirTags einfach an die Apple-Server. Die Daten werden mit dem öffentlichen Schlüssel des verlorenen AirTags chiffriert.

Anschließend kann ein beliebiges Gerät die verschlüsselten Standortdaten vom Server anfordern. Da die Daten verschlüsselt sind, weiß Apple nicht, wem das Signal gehört oder welches Gerät die Daten abfragt. Der entscheidende Punkt ist jedoch, nur mit dem passenden privaten Schlüssel kann man die Daten entschlüsseln und herausfinden, wem der AirTag gehört und wo er sich befindet. Die Daten sind daher nur für den Besitzer des mit diesem AirTag gekoppelten Smartphones brauchbar.

Eine weitere Besonderheit von Wo ist? besteht darin, dass die Detektoren nicht überprüfen, ob das Standortsignal tatsächlich von einem Apple-Gerät stammt. Alle Geräte, die Bluetooth Low Energy (BLE) unterstützen, können es übertragen.

Für diesen Hack haben die Forscher folgende Methode entwickelt:

Sie installieren Malware auf einem Computer, Smartphone oder einem anderen Gerät mit Android, Windows oder Linux und rufen die Adresse des Bluetooth-Adapters ab.
Der Server der Angreifer empfängt die Informationen und verwendet leistungsstarke Grafikkarten, um ein Paar kryptografischer Schlüssel zu generieren. Diese Schlüssel sind speziell auf die Bluetooth-Adresse des Geräts zugeschnitten und mit der Wo ist?-Technologie von Apple kompatibel.
Der öffentliche Schlüssel wird an das infizierte Gerät zurückgesendet, und die Malware überträgt eine Bluetooth-Nachricht, die AirTag-Signale nachahmt und diesen Schlüssel enthält.
Alle Apple-Geräte, die sich in der Nähe befinden und mit dem Internet verbunden sind, empfangen die Bluetooth-Nachricht und leiten sie an die Wo ist?-Server weiter.
Mithilfe des privaten Schlüssels fragt der Server der Angreifer bei Wo ist? den Standort des infizierten Geräts ab und entschlüsselt die Daten.

Wie gut funktioniert das Tracking?

Je mehr Apple-Geräte sich in der Nähe befinden und je langsamer sich das Opfer bewegt, desto genauer und schneller ist das Tracking. Nehmen wir eine typische städtische Umgebung, z. B. eine Wohnung oder ein Büro. Dort wird der Standort normalerweise innerhalb von sechs bis sieben Minuten und mit einer Genauigkeit von etwa drei Metern bestimmt. Das Tracking kann sogar in Extremsituationen klappen, zum Beispiel in Flugzeugen, wo inzwischen häufig Internetzugang verfügbar ist. Während eines 90-minütigen Fluges erhielten die Forscher 17 Geolokalisierungspunkte und konnte die Flugroute recht genau rekonstruieren.

Natürlich hängt der Erfolg des Angriffs davon ab, ob das Opfer mit Malware infiziert werden kann. Zudem gibt es je nach Plattform feine Unterschiede. Linux-Geräte nutzen eine spezifische Bluetooth-Implementierung, darum muss für einen Angriff nur das Gerät des Opfers infiziert werden. Im Gegensatz dazu verwenden Android und Windows eine Bluetooth-Adress-Randomisierung, und der Angreifer muss zwei Bluetooth-Geräte in der Nähe infizieren: eines als Tracking-Ziel (das einen AirTag imitiert) und ein anderes, um die Adapteradresse zu ermitteln.

Die Malware benötigt Bluetooth-Zugriff, was aber das geringste Problem ist. Viele gängige App-Kategorien – z. B. Mediaplayer, Filesharing-Tools und sogar Zahlungs-Apps – haben einleuchtende Gründe, Bluetooth anzufordern. Diese Art von Angriff könnte beispielsweise so beginnen: Kriminelle programmieren eine überzeugende und funktionsfähige App als Köder oder infizieren einfach eine vorhandene App mit einem Trojaner. Der Angriff erfordert weder Administratorrechte noch Root-Zugriff.

Wichtig ist, dass es nicht nur um Smartphones und Computer geht: Der Angriff ist auf einer ganzen Reihe von Geräten möglich (einschließlich Smart-TVs, Virtual-Reality-Brillen und anderen Haushaltsgeräten), da Android oder Linux auf vielen als Betriebssystem dient.

Ein weiterer wichtiger Teil des Angriffs ist die Berechnung kryptografischer Schlüssel auf dem Server. Diese Operation ist ziemlich komplex und erfordert die Anmietung von Hardware mit modernen Grafikkarten. Die Generierung eines Schlüssels für ein einzelnes Opfer kostet ungefähr 2,20 US-Dollar. Darum halten wir massenhafte Tracking-Szenarien, die sich beispielsweise gegen Besucher in Einkaufszentren richten, für unwahrscheinlich. Für gezielte Angriffe ist dieser Preis natürlich kein Hindernis. Betrüger oder neugierige Kollegen und Ehepartner könnten also durchaus zu solchen Mitten greifen.

Apples Antwort

Das Unternehmen hat die Schwachstelle in Wo ist? im Dezember 2024 für die folgenden Systeme gepatcht: iOS 18.2, visionOS 2.2, iPadOS 17.7.3 (für ältere Geräte) und 18.2 (für neuere), watchOS 11.2, tvOS 18.2, macOS Ventura 13.7.2, macOS Sonoma 14.7.2 und macOS Sequoia 15.2. Details zu den Updates wurden leider nicht bekannt gegeben – das ist man von Apple gewohnt. Die Forscher betonen, dass diese Tracking-Methode technisch betrachtet weiterhin möglich ist. Zumindest so lange, bis alle Apple-Nutzer ihre Geräte auf die oben genannten Versionen aktualisiert haben. Nur sind mit der Zeit immer weniger Geräte in der Lage, den Standort eines verfolgten Geräts zu melden. Zudem könnte der Apple-Patch durch einen anderen technischen Trick annulliert werden.

So schützt du dich vor diesem Angriff

Schalte Bluetooth aus, wenn du es nicht verwendest, sofern dein Gerät dies zulässt.
Installiere Apps nur aus vertrauenswürdigen Quellen. Wichtig ist, dass die App schon lange verfügbar ist und dass die neueste Version viele Downloads und eine hohe Bewertung hat.
Gewähre Apps nur dann Bluetooth- und Standortzugriff, wenn du diese Funktionen wirklich benötigst.
Aktualisiere dein Gerät regelmäßig, und zwar sowohl das Betriebssystem als auch die wichtigsten Apps.
Stelle sicher, dass alle deine Geräte einen zuverlässigen Malware-Schutz haben. Wir empfehlen Kaspersky Premium.

Neben dieser ziemlich ungewöhnlichen und völlig neuen Tracking-Methode gibt es zahlreiche weitere Möglichkeiten, deinen Standort und deine Aktivitäten zu verfolgen. Mit welchen Methoden wirst du ausgespäht? In diesen Artikeln findest du interessante Infos:

Smartphone-Daten liefern dein Benutzerprofil

Webcam-Stalking: Tatsache oder Fiktion?

So schützt du dich vor Bluetooth-Stalking und mehr

Wie Millionen von Kia-Autos getrackt werden könnten

Laufe für deine Daten: Datenschutzeinstellungen in Jogging-Apps

Ich weiß, wie du letzten Sommer gefahren bist

… und andere Beiträge

Trojan.Arcanum – ein neuer Trojaner, der auf Tarot-Experten, Esoteriker und Magier abzielt

Tatort Cyber-Tarot: Neuer Trojaner bedroht Anhänger des Übernatürlichen

Eine neue Malware nimmt Esoteriker ins Visier und sendet gestohlene Daten an einen Server in der „Astral-Cloud“.

KOSTENLOSE TOOLS

„Wo ist?“ – eine Apple-App, die alle finden kann

Anatomie des Angriffs

Wie gut funktioniert das Tracking?

Apples Antwort

So schützt du dich vor diesem Angriff

Lehren aus dem Bybit-Hack: Krypto sicher speichern

Trojaner-Karneval – falsche DeepSeek- und Grok-Clients

Tatort Cyber-Tarot: Neuer Trojaner bedroht Anhänger des Übernatürlichen

Tipps

Angriff auf den Datenschutz: böse Überraschungen in Chrome, Edge und Firefox

Lehren aus dem Bybit-Hack: Krypto sicher speichern

Dateien konvertieren? – Aber sicher!

Smartphone-Daten liefern dein Benutzerprofil

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie