Apples "Wo ist?"-Netzwerk, im Englischen "Find my", dient in erster Linie dazu, sich die Position von eingebundenen Geräten anzeigen zu lassen. Dies kann aber ebenfalls dazu genutzt werden, den Standort von Personen zu teilen – sofern sie das entsprechende Device auch bei sich tragen und der Erfassung zustimmen. Forscher der George Mason University haben nun jedoch demonstriert, wie Apples Funktion so zu missbrauchen wäre, dass jegliches Bluetooth-Gerät ohne Kenntnis des Nutzers Daten übermittelt. "Jedes Notebook oder Smartphone in einen AirTag verwandeln", so fasst der leitende Akteur hinter der Studie die Gefahren des nRootTag-Exploits zusammen.


Per Rechenleistung zum "Schlüssel-Matching"
Um die Position von AirTags und Co. zu übertragen, kommunizieren diese per Bluetooth mit anderen Geräten in der Nähe und übermitteln einen Schlüssel. Aus Sicherheitsgründen ändert sich die Bluetooth-Adresse übrigens regelmäßig. In der Studie wählten die Forscher nicht den Weg, auf besagten Mechanismus Einfluss zu nehmen, sondern stattdessen schlicht Schlüssel zu finden, die mit der jeweiligen Adresse kompatibel sind. Hunderte GPUs kommen für jenes Durchratespiel zum Einsatz – dies angeblich mit einer Erfolgsquote von 90 Prozent nach nur wenigen Minuten.

Ausgetrickst: Beliebige Geräte als AirTag erscheinen lassen
In den Experimenten war es möglich, beliebige Bluetooth-Sender metergenau zu verfolgen, egal ob es sich um einen stationären Computer, eine Spielkonsole oder ein E-Bike handelt. Wer sich nun fragt, was die angeführten Beispiele bitte mit Apples "Wo ist?"-Netzwerk zu tun haben: Der Angriffsvektor beinhaltet, jene Geräte ohne Apples Kenntnis in einen AirTag zu verwandeln, wodurch diese als autorisierte Tracker erscheinen. Dadurch, dass "Wo ist?" nun aber denkt, es wirklich mit einem AirTag zu tun zu haben, wird es zu einem "Komplizen der Angreifer", wie es der Forscher beschreibt.

Apple bestätigt Problem und arbeitet daran
Apple wurde bereits im Juli 2024 darüber in Kenntnis gesetzt, dass sich die Schlüssel-Matches durch Einsatz leistungsstarker Rechenanlagen recht leicht herstellen und zum Stalking verwendet lassen. In einer Reaktion bestätigte Apple die Problematik auch und kündigte an, die Schwachstelle durch bessere Überprüfung angehen zu wollen – wenngleich nicht bekannt ist, auf welche Art und Weise das erfolgt. Zwei Tipps haben die Forscher für Nutzer: Niemals Bluetooth-Zugriff von Apps bestätigen, wenn man sich unsicher ist, wofür dieser gedacht ist. Außerdem sollten immer alle Sicherheitsupdates installiert werden, was übrigens nicht nur für diesen Fall anzuraten ist.