Ein Experte hat nun auch die Software von Apples neuen Aushängeschild manipulieren können – zudem sei es „beängstigend“ wie einfach das Stalking über die Gadget-Tracker ist.
Dem Sicherheitsforscher Stack Smashing ist es zehn Tage nach der offiziellen Vorstellung gelungen, das Gadget zu hacken. Er twitterte, er habe in den Mikro-Controller einbrechen und dessen Software manipulieren können – denn der Controller steuert das Gerät. Er habe sogar die NFC-URL verändert und erreicht, dass der Gadget-Tracker eine andere Domain statt der „Find-my“-Website öffnet. Dahinter könnte dann eine Phishing-Seite oder Ähnliches versteckt werden. Andere Spezialisten wundern sich darüber, dass die Firmware der Airtags nicht verschlüsselt ist. Der Hack wird auch als Jailbreak bezeichnet.
Dank Sicherheitsschwächen Airtag-Stalking einfach
Zudem kritisiert ein weiterer Bericht der letzten Tage die Anti-Stalking-Maßnahmen Apples als unzureichend. Der Washington-Post-Redakteur Geoffrey Fowler schrieb nach entsprechendem Test etwa: „Airtags sind ein neues Mittel für kostengünstiges, effektives Stalking. […] Apples Bemühungen reichen einfach nicht aus.“ Er hatte einen Kollegen einen Tag lang seinen Rucksack tracken lassen und beschrieb, dass dieser seinen Aufenthaltsort „mit bemerkenswerter Präzision“ finden konnte. Der „Stalker“ habe auch die exakte Heimatadresse angezeigt bekommen.
Sicherheitshinweise abschalten ohne Identifikation
Ohne eigenes Wissen drei Tage lang verfolgt zu werden ist eine lange Zeit, wird kritisiert. Diese Zeitspanne gilt nur für Android-Nutzer. Ein fremder Stalker könne in dieser Zeit die Zielperson bereits bis zur Heimatadresse oder an einen anderen sensiblen Ort verfolgen. Zudem lässt sich die akustische Warnung umgehen, um die Lautsprecher der Airtags zu deaktivieren. Zusätzlich steht in der Kritik die die dazugehörige Option in der App, das sich die Warnung für ein Tag ausschaltet, aktivieren lässt sie sich ohne Authentifizierung oder Eingabe einen Pin. Kritiker fordern die gleichen Pop-up-Warnungen für Android-Nutzer und eine Passwort- oder Pin-Sperre für deren Ausschalten.