Selbstbau-AirTag umgeht Stalking-Schutz

Direkt zur Veröffentlichung der AirTags von Apple gab es die ersten Meldungen, dass die kleinen, durchaus nützlichen Dinger leider auch zweckentfremdet werden und damit unter anderem Menschen ohne ihr Wissen gestalkt wurden. Apple hat sich seinerzeit zum Stalking-Schutz geäußert, leider ist dieser wohl aber nicht ausreichend durchdacht worden. Denn wie unser Leser, der Sicherheitsforscher Fabian Bräunlein in einem sehr umfangreichen Beitrag mitteilt, werden inoffizielle Tracker, die sich klammheimlich im „Wo ist?“-Netzwerk von Apple anmelden, bislang nicht von Apples Erkennung berücksichtigt.

Bräunlein hat gemeinsam mit einem in Szenario involvierten „Opfer“ fünf Tage nachstellen können, dass ein AirTag-Imitat in der Lage war, den Standort der Person nachzuverfolgen, ohne dass das Opfer davon etwas mitbekommt, geschweige denn über sein iPhone darüber informiert wird. Laut Bräunlein will er Apple darauf aufmerksam machen, dass die bisherigen Schutzmaßnahmen neu durchdacht werden müssen, die Schutzfunktionen dürften nicht direkt auf den AirTags selbst stattfinden. Bei seiner Methode sendet der Klon des AirTags ganz einfach regelmäßig neue öffentliche Schlüssel aus, wirkt darum auch jedes Mal wie ein neuer AirTag und erzeugt so keinerlei Tracking-Warnung.

Das Ganze läuft auf einem ESP32. Das ist ein kleiner 32-Bit-Mikrocontroller der chinesischen Firma Espressif, der auch in zahlreichen IoT-Geräten arbeitet. Der läuft mit einer speziellen Firmware. Interessierte können den Quellcode des Projektes hier einsehen.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Nordlicht, Ehemann und Vater. Technik-verliebt und lebt fürs Bloggen. Außerdem: Mail: benjamin@caschys.blog / Mastodon

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

37 Kommentare

  1. War doch klar. Nur weil lauter zerstreute Professoren auf der ganzen Welt ihr Hab und Gut ohne solche Gadgets nicht wiederfinden können, kann nun jeder von jedem schön getracked werden. Danke an all die Tag-Käufer!

    • Zuvor gab es GPS Tracker, man hat Software auf das Handy gespielt, Tidl gibts, Galaxy Tags. Aber auf Apple einhauen gibt halt am meisten Resonanz…

      • Verstehe ich die Meldung richtig:
        „Nicht-Apple-gerät kann Dinge die andere nicht-alle m Apple-Geräte schon vor Apple konnten“?!?

        Wo ist der Witz?

        • Ne, du verstehst leider gar nischt! Ein Airtag-Clon nutz das Apple Netzwerk ohne die Schutzfunktion, dass die „Gestalkten“ nach geraumer Zeit gewarnt werden. Kein Witz!

      • Laufzeit oder Genauigkeit sind hier aber deutlich unterschiedlich.
        Für Tile benötigt man andere Teile-Nutzer zur Lokalisierung, hingegen findet man einen Apple-Nutzer quasi an jeder hintersten Ecke und kann somit die Ortung genauer nutzen.

    • Wenn du einmal ein Schlüsselbund oder Portemonnaie verloren hast, weist du wie toll diese Dinger sind.

    • Wohl eher, weil es abnormale Menschen gibt, die andere Stalken und schlimmeres… -Da kann der Tag-Käufer ja nichts dafür. Für viele ist es eine Bereicherung, die Wertsachen schnell wieder aufzufinden.
      Die Zerstreuten sind die harmlosen in der Geschichte….

    • Du musst den Iphone Käufern danken, die sind die Relaisstationen , für die die IOT´s.

  2. Please note: The below mentioned generate_keypairs.py has been purposefully left out of this repository and as an exercise for the reader. 🙂

  3. Das muss man sich aber erst mal reinziehen. Wenn Apple sein Universum nicht öffnet, ist das böse. Jetzt wird das „wo ist“ geöffnet du ein Drittanbieter und der baut ein Teil und wieder muss Apple gegensteuern. Was ist eigentlich, wenn der Besitzer eines iPhones mit einem solchen Tag ein Androiden trackt? Wer sorgt da für die Info?

  4. Nun kann man das Thema immer auf den AirTag runterbrechen weil es eine gewisse Infrastruktur gibt. Das Problem war aber doch vorher schon da, in vorm vieler anderer devices und Tracker. Entsprechendes Überwachunsequipment is ja nicht neu.

    • Überwachungstechnik ist für privat Personen verboten. Dafür kann man hart rangenommen werden, für einer AirTag nicht.

    • Preis, Genauigkeit und Laufzeit sind hier aber in der Kombination schon einzigartig.

    • FriedeFreudeEierkuchen says:

      Der Game-Changer ist die große Infrastruktur. Ohne eine breite Basis – wie bei Apple – ist das Konzept witzlos. Daher war es bisher kein großes Problem.
      GPS-Tracker brauchen recht viel Strom und waren daher ein Nischenproblem. GPS-Tracker sind deutlich teurer als die Air Tags bzw. andere Kleintracker. Bluetooth-Tracking wiederum funktioniert nicht ohne breite Basis.
      Apple hat hier ein Fass aufgemacht und das Konzept nicht zu Ende gedacht.

      • Schon mal bei Alibaba geschaut, was es für eine Auswahl an Trackern gibt und zu welchen Kursen die verkauft werden? Das Argument ist doch an den Haaren herbeigezogen.

        • Nein, ist es nicht. Ein 0815 Alibaba tracker bringt dir nix, wenn es keine Infrastruktur gibt. Da ist Apple mit den ganzen und Iphones und Ipads schon gut dabei.

          • Doch gibt es. Die Infrastruktur heißt GPS und LTE.

            • FriedeFreudeEierkuchen says:

              Klar. Und LTE und GPS sind dafür bekannt, praktisch keinen Strom zu benötigen, sehr klein und sehr günstig zu sein… Apple ist hier der Game Changer: Klein, stromsparend, günstig und trotzdem eine sehr breite Abdeckung.

  5. Man sollte das Kind mal beim Namen nennen: Apple hat hier ein riesengroßes, weltweit operierendes Überwachungsinstrument geschaffen. Klar, den selbstgebauten oder modifizierten AirTag, der das dann ausnutzt, muss man noch selber beisteuern, aber alle unterstützten Apple Geräte helfen dann dabei, diesen aufzufinden. Apple hat das sicherlich nicht so gewollt, aber sie machen auch zu wenig dagegen dass es für Überwachungen/Stalking eingesetzt wird.

    Ernst gemeinte Frage zu rechtlichen Auswirkungen: Wenn jemand illegal durch die Infrastruktur Apples und auch durch mein iPhone getrackt wird, mache ich mich dann der Beihilfe schuldigt, wenn u.a. mein Handy den AirTag gemeldet hat?

    • Senden nicht die anderen Apple Gerätschaften ( ausgeschaltete Iphones, Airpods etc.) nicht auf dem gleichen System ?
      Also sind die Tags nur ein billger verlierbarer Rest.

      P.S. ich mags , verlege immer mal wieder meinen Schlüsselbund im Haus.

    • Wo soll den das enden? Eine Mitschuld für den Tankwart weil du dein Fluchtauto da getankt hast?

      Was soll eigentlich Apple tun. Sobald man die Teile nicht mehr zum Stalking verwenden kann sind sie Elektroschrott und du kannst sie für gar nichts mehr verwenden.

      Man kann alles missbrauchen, Autos, Hammer, Messer. Warum muss Zwilling nichts machen das man mit deren Messer niemanden erstochen werden kann?

    • Dann schalt es halt ab. Einstellung | Namen anklicken | Wo ist? | Mein iPhone suchen | „Wo ist?“-Netzwerk deaktivieren.

      • Hä, was hat denn die Handysuche damit zu tun? Der Verfolger sucht ja sein Tracker der bei den Verfolgten plaziert wurde. Kannst dann höhstens Bluetooth deaktivieren.

    • Zu deiner Frage würde ich mit einem „Eher nicht“ antworten, bin aber kein Jurist.
      Du hilfst nicht aktiv dabei sondern passiv. Denn du hast keine Möglichkeit deine Hilfe zu verweigern. Das macht dein iPhone automatisch. Demnach trifft dich keine Schuld.
      Aber ich bin KEIN Jurist!

      Zu dem Thema:
      Apple macht die Einstiegshürde schon recht einfach und ermöglicht es somit fast jedem! Ich denke, dass Apple mit Updates genau gegen diese „fremden“ AirTags vorgehen. Vermutlich etwas spät.
      Zwar ist es ein blöder Vergleich, aber wenn Leute erschossen werden, wird auch nicht der Waffenhersteller zur Rechenschaft gezogen. Denn der hat ein Arbeitsgerät für Jäger entwickelt.

      Schwieriges Thema und ich sehe auch Apple in der Handlungspflicht. Denn die können nachträglich dagegen vorgehen. Ein Hersteller von Schusswaffen nicht.

  6. Ich glaube mit den AirTags hat sich Apple einen ordentlichen Bärendienst erwiesen. An Tim Cook Stelle würde ich mit sofortiger Wirkung die AirTags deaktivieren, zurückrufen und allen ihr Geld erstatten. So kann das jedenfalls nicht weiter gehen.

  7. Ich verstehe das Problem ehrlich nicht… man konnte doch auch vorher schon jemanden z.B. ein günstiges Handy mit GPS und SIM in die Tasche stecken? Ist doch sogar noch genauer. Warum ist diese gebastelte AirTag dann so ein neuer Aufreger? Ehrliche Frage!

    • FriedeFreudeEierkuchen says:

      Echt? Ist total unauffällig, ein dickes, fremdes Handy in der Tasche zu haben. Und es ist bekannt, dass Handys mit laufendem Tracking tagelang laufen. Und die SIM ist natürlich total anonym. Und man kann so ein Handy auch ganz leicht in wetterkritischen Bereichen (z.B. an fremden Autos anbringen). Du hast keine Minute nachgedacht, oder?

  8. Ganz so einfach ist es nicht wie hier beschrieben. Der esp32 ist um einiges größer und braucht um einiges mehr an Strom – für 4 Tage braucht man einen großen Akku. Mit einer Knopfzelle wie das original hält der ESP32 keine 2 Stunden durch.

    • Im großen und ganzen hast du recht aber mit Deepsleep und längerer Abtastrate kommt man schon ein paar Stunden/tage länger klar. Aber das Problem ist das der dargestellte ESP32 ein Entwicklerboard ist. Man kann auch auf eine Stromsparerenden Atmel mit einen extra Bluetooth Modul zurückgreifen. Da spart man auch noch ne Menge Energie. Der Entwickler wollte damit nur zeigen das dass Protokoll nicht nur theoretisch unsicher ist.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.