Eine kürzlich entdeckte Bluetooth-Sicherheitslücke macht potenziell alle iPhones, iPads und Macs verwundbar gegen unerwünschtes Tracking. Angreifer können Geräte mit mit den Betriebsystemen iOS, watchOS, macOS und Windows 10 demnach über die Bluetooth-Schwachstelle identifizieren und tracken. Android ist nicht betroffen.


Tracking-Gefahr für Apple- und Windows-Geräte
Die Schwachstelle wird in Forschungsergebnissen der Boston University thematisiert. In der wissenschaftlichen Untersuchung „Tracking Anonymized Bluetooth Devices“ (PDF) von Johannes K. Becker, David Li und David Starobinski erklären die Wissenschaftler, über welche Sicherheitslücke die betroffenen Geräte angreifbar sind.

Bluetooth-Geräte benutzen bestimmte Kanäle, um zum Beispiel Rechnern ihre Anwesenheit mitzuteilen. Um ein unerwünschtes Tracking zu vermeiden, anonymisieren sie die MAC-Adressen, über die sie ihre Gegenwart bekanntgeben. Doch es sollen sich den Forschungsergebnissen zufolge Identitäts-Tokens extrahieren lassen, die es ermöglichen, Bluetooth-Geräte dauerhaft zu tracken – selbst wenn sich die anonymisierte Adresse ändert. Das Tracking funktioniert selbstredend nur über die vergleichsweise kurze Distanz, die Bluetooth-Verbindungen bereitstellen.

Bislang ist nicht bekannt, ob die Lücke bereits ausgenutzt wurde. Besagte Angriffe sind aber ohnehin kaum zu erkennen, da dazu keine Bluetooth-Sicherheitshürden geknackt werden müssen.

Android-Geräte nicht betroffen
Da Android-Geräte eine andere Methode als Windows- und Apple-Betriebssysteme nutzen, um Bluetooth-Geräte auf sich aufmerksam zu machen, sind sie nicht von der Schwachstelle betroffen – und daher immun gegen entsprechende Tracking-Angriffe.