Wie sicher sind AirTags? Was Ihr über Tracking, Hacks & Phishing wissen müsst

Wie sicher sind AirTags? Was Ihr über Tracking, Hacks & Phishing wissen müsst

Kurz nach der anfänglichen Euphorie um die Apple AirTags folgten Meldungen über Hacking-Angriffe, Phishing und Co. Gleichzeitig stellt Ihr Euch in den Kommentaren die Frage, ob man nicht auch Personen über die Mini-Devices tracken könnte. NextPit beantwortet daher alle wichtigen Sicherheitsbedenken rund um Apples Gegenstands-Tracker.

In unseren Artikeln rund um Apples AirTags kam immer wieder ein Frage auf: Kann mir jemand die winzigen Tracker nicht einfach unterjubeln und mich damit verfolgen? Eine berechtigte Frage, denn schließlich könnt Ihr den Standort verlorener Gegenstände über das "Wo ist?"-Netzwerk ja auch auf einige Meter genau einsehen.

Zusätzlich zu diesen Bedenken berichteten Magazine kurze Zeit nach dem Release der AirTags über Hacking-Attacken, Phishing und geknackte NFC-Codes. Daher möchten wir nachfolgend auch auf diese Themen eingehen, um bei Euch für ein ruhiges Gewissen nach dem Kauf der Apple AirTags. Aber starten wir mal mit dem Offensichtlichen.

Kann man Personen mit den AirTags verfolgen?

Die AirTags sind ungefähr so groß wie ein 1-Euro-Stück. Daher haben viele von Euch die Befürchtung geäußert, dass man Euch die Tracker einfach in den Rucksack werfen könnte. Über das "Wo ist?"-Netzwerk und die unzähligen Apple-Geräte, die auf aller Welt herumfunken, könnte man Euch samt Tracker so theoretisch auf einige Meter genau aufspüren.

Wie Apple gegenüber dem YouTuber Rene Ritchie verriet, gibt es dagegen zwei grundlegende Schutzmechanismen. Der erste greift, wenn Ihr selbst ein iPhone benutzt. Denn befindet sich ein AirTag in Reichweite eines iPhones, mit dem dieses nicht direkt verknüpft ist, erhaltet Ihr eine Benachrichtigung. Einen heimlich untergeschobenen AirTag könntet Ihr dann zum Piepen bringen und einfach die Batterie rausnehmen.

Nutzt Ihr stattdessen ein Android-Handy, seht Ihr diese Benachrichtigung nicht – dann greift der zweite Sicherheitsmechanismus. Denn befindet sich ein AirTag drei Tage lang außer Reichweite eines gekoppelten Gerätes, ertönt ein Warnsignal. Über die NFC-Funktion Eures Handys könntet Ihr dann sogar schauen, mit welchem Account der Tracker verbunden ist.

Somit wäre es auch wirklich selten dämlich, jemanden mit einem AirTag zu tracken. Denn auch die Polizei hätte durch die gespeicherten NFC-Infos recht einfaches Spiel, Euch für die Straftat dranzukriegen.

Stalking von Android-Nutzern theoretisch möglich

Auch wenn es ziemlich dämlich ist, deutet das Magazin Curved noch auf ein interessantes Szenario hin: Wickelt jemand den AirTag in ein paar Lagen Stoff ein oder packt ihn in eine recht schalldichte Hülle, könnte man die Warntöne recht leicht überhören. Diese Gedanken lassen sich auf einen Journalisten der Washington Post zurückführen, der die Tracker getestet hat.

Kritisch sei zuallererst der lange Zeitraum, in dem die AirTags stumm bleiben – Ihr erinnert Euch an die drei Tage! Anschließend seien die AirTags mit einer Lautstärke von 60 Dezibel recht leise und der Warnton ertöne nur alle paar Stunden für 15 Sekunden. Auch wenn die Bedenken berechtigt sind, frage ich mich, warum man für einen solchen Missbrauch ausgerechnet einen AirTag nutzen könnte.

NextPit Apple AirTag 13
Euer iPhone zeigte Euch fremde AirTags direkt an – unter Android ist dies leider nicht der Fall. / © NextPit

Vor einigen Jahren habe ich eine Serie an Artikeln über das Orten von Smartphones geschrieben. Mit der richtigen App und kostenpflichtigen Anbietern war es dabei sogar möglich, auf das GPS-Modul von Handys, auf die Videokamera oder auf das Mikrofon zuzugreifen. Kurz gesagt: Wer andere Menschen mutwillig verfolgen will und dabei eine Straftat in Kauf nimmt, der wird einfach Euer Handy tracken. 

Wurden Apples AirTags wirklich gehackt?

Aber was wäre, wenn jemand die NFC-Informationen einfach austauschen würde und auch die Sicherheitsmechanismen deaktivieren könnte? Diese Frage ist spätestens seit dem Moment berechtigt, als der erste AirTag gehackt wurde. Denn ja, ein Tüftler hat es durchaus geschafft, Zugriff zum Mikrocontroller des Trackers zu erlangen.

Hierfür öffnete er einen AirTag und veränderte die gespeicherte URL, die das Gadget beim Auslesen des NFC-Chips übermittelt. Das ist insofern kritisch, als dass sich hier auch Phishing-Webseiten oder gefälschte Apple-Seiten hinterlegen ließen. Die denkbaren Szenarien sind allesamt zu umständlich, als dass sich das Hacking lohnen würde.

Um eure AirTags zu hacken, müsste ein Angreifer sie entwenden, auseinandernehmen, Kabel dranlöten, die Software hacken und sie wieder zusammenbauen. Möchte Euch jemand über einen AirTag auf eine Phishing-Seite locken, müsste er darauf hoffen, dass jemand den verlorenen Tracker findet und ihn dann scannt.

Letzteres Szenario ist zwar durchaus realistisch, wirkt aber nicht besonders lohnenswert. Gerade beim Phishing sind E-Mails oder SMS als Lockmittel weitaus profitabler als das Verteilen kostenpflichtiger AirTags.

Wie Computerbild schreibt, arbeitet Apple zudem schon an einem Update, mit dem die Sicherheitslücke geschlossen werden soll. Dass Tüftler neue Geräte öffnen und hacken bringt meist nur ein bisschen Ruhm in der Community. Gleichzeitig ist es natürlich cool, Apple zu zeigen, dass die vermeintlich sicheren Geräte doch nicht 100%ig sicher sind.

Kann jemand meinen AirTag klauen und sein iPhone verbinden?

Habt Ihr einen AirTag verloren oder wurde Euer Schlüsselbund ohne den Tracker aufgefunden, ist das natürlich AirGerlich (Ich entschuldige mich im Namen meiner gesamten Familie!). Aber einen von Apples Gegenstands-Trackern zu klauen, ist nicht sonderlich zielführend. Denn bei der ersten Einrichtung wird die Seriennummer, die unter anderem auf dem Gehäuse gedruckt steht, mit Eurer Apple-ID verknüpft.

NextPit Apple AirTag 1
Apples AirTag benötigen Zubehör, um an Schlüsselbunden Platz zu finden. / © NextPit

Durch das Pairing an Euren Account lässt sich ein AirTag nicht einfach mit einem anderen iPhone verbinden und somit lohnt sich der Diebstahl des 35-Euro-Plättchens nicht wirklich. Da Euer Account auch im NFC-Tag gespeichert ist, lässt sich der ursprüngliche Besitzer zudem ziemlich leicht ermitteln. Um Diebstahl braucht Ihr Euch also nicht zu sorgen. 

AirTags eine Gefahr für Kinder?

Um auch keinen Sicherheitsaspekt zu vergessen, hier noch kurz eine interessante Story aus Australien. Wie das Magazin Gizmodo schreibt, habe eine australische Handelskette die AirTags aus dem Sortiment genommen, da sich die Knopfzelle zu leicht entfernen ließe. Der Drehmechanismus sei zu unsicher und Kinder könnten die Knopfzelle verschlucken, die sich im Inneren befindet.

In Deutschland scheinen die Prüfbehörden diesbezüglich keine Bedenken gehabt zu haben. Als Spielzeug solltet Ihr Euren Kindern die AirTags aber natürlich nicht geben, denn sie sind auch so klein genug, um verschluckt zu werden. Die Position der Tracker im eigenen Körper zu verfolgen, indem man einen AirTag verschluckt und mit dem U1-Chip verfolgt, empfehle ich Euch ebenfalls nicht.

Wie seht Ihr die Sicherheitsbedenken der AirTags? Tragt Ihr die Devices mit ruhigem Gewissen bei Euch oder habt Ihr Angst, verfolgt zu werden? Teilt es uns in den Kommentaren mit!

Neueste Artikel

21 Kommentare

Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!

  • > Dass Tüftler neue Geräte öffnen und hacken bringt meist nur ein bisschen Ruhm in der Community. Gleichzeitig ist es natürlich cool, Apple zu zeigen, dass die vermeintlich sicheren Geräte doch nicht 100%ig sicher sind.

    Wer nur auf Ruhm aus ist, der soll das dafür tun. Ich sehe allerdings einen weiteren Grund, warum es Sinn macht, Hard- und Software zu hacken: Die Verbesserung!

    Niemand ist perfekt. Auch ein Entwickler-Team bei Apple nicht. Vielleicht kennen sie aber auch die Schwachstellen und haben sie intern benannt, sind aber abgewiesen worden. Dann schafft deren Veröffentlichung oft den nötigen Nachdruck.

    Gelöschter Account


  • Wer wirklich eine Position wissen will, der nimmt einfach die betroffene Handynummer, bezahlt 30 Euro, eine Stealth Sms wird versendet und ohne das man es bemerkt antwortet das Handy mit den Standort auf die Stealth Sms.

    War zwar eigentlich mal nur für Geheimdienste gedacht, aber leider ist das Real etwas anders.

    Mit dem erforderlichen Geld kann man falls Handynummer bekannt jedes Handy mit Gps orten. Schlimm aber war.


  • Finde es als Verbraucher natürlich gut, wenn Produkte aufgrund der Arbeit von Tüftlern und Testern weiter verbessert werden.

    Was aber ernsthafte Bedenken zur Sicherheit der AirTags angeht, so ist das für mich die übliche Themenwelle bei neuen (Apple-)Produkten.


  • Bei mir ist Bluetooth nur zuhause oder im Auto aktiv. Standort auch nur im Auto. NFC nur bei Bedarf. Mal davon abgesehen, dass ich mein Smartphone nicht ständig mitnehme. Also keine Gefahr?!


  • Mal ganz ehrlich wenn man wirklich jemanden tracken will nimmt man ein teil so groß wie eine zwei euro münze, mit sim karte und gps Chip.

    So ein teil kostet weniger als ein Airtag und ist wesentlich besser für so etwas geeignet.

    Wäre schon dämlich es mit airtags zu probieren.

    Gelöschter Account


    • Und wo gibt's das? Vielleicht in "James-Bond-Filmen"? Tiertracker sind erhebliche klobiger (obwohl gerade da eine sehr kleine und leichte Ausführung sinnvoll wäre) und spezielle Personentracker sind nur schwer erhältlich. Ausserdem hat es nichts mit dem Thema zu tun, dass alternative Trackingmethoden denkbar sind (siehe Beispiel Spielzeug). Es geht darum, ob es mit einem Produkt geht, dass damit wirbt, dass es nicht geht.


      • Die Dinger kann man so Kaufen Michael, kosten ab 30€ Und die nehmen auch die Netz und wlan daten für den Standort.

        Es ist auch kein Problem eine Full Hd Kamera in Stecknadelkopfgröße zu kaufen.


        Ein bekannter von mir ist Detektiv der hat mich mal aufgeklärt der Nutzt diese Tracker, Stealth sms, spionage Cams, und bei bedarf werden Handys gehackt, dafür bezahlt er 120€ und muss nur einen Usb Dongle für wenige Sekunden an ein entsperrtes Gerät hängen, bzw händigt den Kunden so einen Stick aus.
        Ab dann kann alles inklusive Telefonate, Whatsapp, sms, standort live abgegriffen werden.

        Will nur sagen wer sich etwas damit befasst hat ganz andere Möglichkeiten und braucht keinen Airtag dafür.


  • Die Kritik an den Tags, sie könnten zum Personentracking eingesetzt werden, ging von Organisationen aus, die sich mit häuslicher Gewalt beschäftigen. Die dabei aufgeführten Argumente sind durchaus schlüssig, und auch die dabei gestellten Fragen richtig:

    Warum dauert es ganze drei Tage, bevor eine gertrackte Person ohne iPhone vor Tracking gewarnt wird?

    Warum hat Apple bei den Tags nicht ähnlich wie bei Maßnahmen zur Corona-Prävention, die Zusammenarbeit mit Google gesucht, um über gemeinsame Schnittstellen zumindest auch Nutzer von Android-Geräten zeitnah zu warnen und ggf. das Auslösen des Warntones zu ermöglichen?
    Die Ausdehnung einer solchen Zusammenarbeit auf das "Wo ist" Netzwerk hätten dessen Leistungsfähigkeit sogar noch erheblich steigern können.

    Eine Argumentation wie folgende ist dabei wenig hilfreich:

    "Somit wäre es auch wirklich selten dämlich, jemanden mit einem AirTag zu tracken. Denn auch die Polizei hätte durch die gespeicherten NFC-Infos recht einfaches Spiel, Euch für die Straftat dranzukriegen."

    Was erwartet man von jemanden, der seinen Partner schlägt oder anderweitig misshandelt? Derjenige muss nicht zwangsläufig "ziemlich dämlich" sein, er kann das zwar, kann aber auch eine psychische oder neurologische Störung haben. In jedem Fall begeht er mit der häuslichen Gewalt schon Körperverletzung, mitunter schwere. Die kann ohnehin mit Gefängnis bestraft werden. Das kann das Tracking zwar auch, wie der BGH festgestellt hat, aber sollte das einen Schläger überzeugen, zwar vom Tracking abzusehen, weil ihn das strafrechtlich bedroht, aber von der Gewalt selber, die ihn noch stärker bedroht, nicht?
    Ausserdem sind drei Tage viel Zeit, um einen Tag wieder in seinen Besitz zu bringen, erst Recht wenn die Bluetooth-Verbindung zum verbundenen iPhone reicht, um den Timer erneut zu starten.
    Und wenn er wirklich anhand des Tags als Eigentümer überführt wird, und nicht ganz dämlich ist, bestreitet er nicht das Eigentum am Tag, aber seinen Missbrauch zum Tracking ("Der muss sich gelöst haben, als meine Frau den Schlüssel hatte. Den hab ich dann gesucht, und mich gewundert, wie der sich bewegt.").

    Auch das immer wieder kehrende Argument, das man auch mit anderen technischen Mitteln, wie Tiertrackern Personen tracken kann, überzeugt nicht. Kein Tiertracker wirbt damit, dass er einen Tracking-Schutz hätte, und um diese Produkte geht es nicht.
    Wenn ich ein Spielzeug kaufe, noch mit dem CE-Zeichen qualifiziert, kann ich davon ausgehen, dass sich ein Kind daran nicht ernsthaft verletzen kann.
    Macht es das dennoch, kann ich das nicht damit rechtfertigen, dass es sich die Verletzungen ja auch mit herum liegenden Messern oder Scheren hätte zufügen können.
    Die fallen nicht in den Verantwortungsbereich des kritisierten Herstellers und haben nichts mit seinem Produkt zu tun.

    Allerdings kann man dem Hersteller nicht anlasten, dass sich der Warnton durch Einwickeln in Stoff weitgehend unterdrücken lässt. Ein geschickter Bastler kann den Lautsprechern auch abklemmen, ein weniger geschickter durch Bauschaum oder Klebstoff auch entsprechend verdämmen.
    Man kann von einem 35 € Tag, der dafür durchaus raffinierte Technik enthält, u.a. drei Funkschnittstellen, nicht die Eigenschaften eines Hochsicherheitsgadgets erwarten. Solche Eigenschaften sichert der Hersteller auch nicht zu.
    Wenn aber ein Trackingschutz für beliebige Dritte zugesichert wurd, sollte der auch realistischen Trackingszenarien gerecht werden.
    Ein Ansprechen erst nach drei Tagen, lässt durchaus Zweifel daran aufkommen, dass das der Fall ist.


  •   17
    Gelöschter Account vor 3 Wochen Link zum Kommentar

    Warum der Crap überhaupt teilweise unter Android funktioniert, wenn man dann auch noch ein unvollständiges Produkt erhält ist mir schleierhaft. Sonst werden doch auch keine Kosten und Mühen gescheut, damit manche Produkte gar nicht erst mit Android funktionieren.. 🕰️🤳🙈


  • Die Dinger heißen AirTag! Sie heißen nicht AirTrack und das aus gutem Grund. Es sind keine Fährtenleser, sondern Etiketten! Denn sie senden noch nicht einmal einen Standort, sondern nur ein Beacon. Es wird zusätzlich ein Smartphone benötigt, das den Standort des Smartphones meldet. Ohne dieses in der Nähe, das ein Beacon des AirTags empfangen kann, sind die AirTags wertlos.

    Wer mit AirTags tracken will, macht sich das Tracking also nur unnötig schwer. Dann soll er sich auf das Smartphone der Person beschränken, die er verfolgen will. Das spart Aufwand.


    • Der Stalker benötigt selber ein iPhone und zur Positionserfassung in größerer Distanz andere Personen, die ein iPhone, iPad oder ähnliches mit sich führen. Gerade in Großstädten kann die räumliche Dichte solcher Geräte sehr hoch sein, was ein engmaschiges Tracking ermöglicht (und die Kernfunktion des Findens in der Ferne beruht genau darauf). In Großstädten mit engen Häuserschluchten und weitläufigen und unterirdischen Gebäuden (S- und U-Bahnhöfen) wo der Empfang von Navigationssatellitensignalen schwierig sein kann, sogar u.U. besser als mit einem GPS-Tracker.
      Um das Smartphone selber zu tracken, muss man dessen zeitweise habhaft werden (und es entsperren können) oder die Kontozugangsdaten des Gerätes kennen. Beides muss nicht gegeben sein, und beides nutzt nichts, wenn die zu trackende Person aus Angst vor Tracking kein Smartphone mitführt, oder z.B. ein Leihgerät einer anderen Person. Einen kleinen Tag irgendwo im Mantelfutter zu verstecken, dürfte da erheblich einfacher sein.
      Wenn die Teile Dinge, an denen sie hängen, gut finden sollen können, dann machen sie das auch, und wenn die "Dinge", die sie finden sollen, Menschen sind, dann nennt man das Tracking.


      • > wenn die "Dinge", die sie finden sollen, Menschen sind, dann nennt man das Tracking.

        Nein! Tracking ist ein ständiges Verfolgen und das muss kein Mensch sein, sondern kann auch ein Tier oder Fahrzeug sein. Was die AirTags machen, ist ein Beacon an ein anderes Smartphone senden und dieses sendet den Inhalt des Beacons, ergänzt um die Standort-Information an Apple, die es dann im Konto des Eigentümers bereitstellen.

        Ohne mindestens ein weiteres Smartphone in der Nähe, sind die die Airtags wertlos. Abgesehen davon unterbinden sie das theoretisch mögliche Tracking sogar noch aktiv, indem sie sich bemerkbar machen.

        Alex


      • Ach es gibt Hakkerlösungen egal ob Iphone oder Android. Da trackt man life das gesamte Smartphone, ohne das jemand etwas merkt.

        Gibt einige Hacker die sich das gut bezahlen lassen, wege und arten wie solche hacks zustande kommen gibt es viele.


        Airtags sind da keine echte Gefahr.


        Nearby services, wlan scans, nfc, bt u.s.w habe ich doch eher aus.

        Muss nicht sein das ich überall spuren empfange und hinterlasse.

        Das Akku sagt auch danke wenn das ganze Gedöns nicht aktiv ist.


      • Auch ein GPS-Tracker sendet keinen kontinuierlichen Datenstrom, sondern in regelmäßigen zeitlichen Abständen periodisch immer wieder Positionsdaten, und auch nur, wenn er ein Satellitensignal hat, also häufig nicht in Gebäuden oder unter dichtem Laub.
        Natürlich brauchen die Airtags dazu andere iPhones als das, mit dem sie verbunden sind. Aber darauf beruht auch die "Wo ist"-Funktion auf große Distanz. Wenn diese beworbene Kernfunktion zur Verfügung stehen soll, ist eine gewisse Dichte an eingeschalteten iPhones ebenso nötig, und in dicht
        besiedelten Gebieten kann diese auch vorausgesetzt werden, sonst wäre die "Wo ist"-Funktion ja auch unbrauchbar. Da auch ein GPS-Tracker während einer U-Bahnfahrt i.d.R. keine Positionsdaten sendet, ist der Unterschied, vom technischen Verfahren abgesehen, nicht so groß, und die Airtags könnten in solchen Szenarien sogar wesentlich besser geeignet sein als GPS-Tracker (Mobilfunk in Tunneln ist nicht mehr ungewöhnlich).
        Dass sie sich bemerkbar machen, ist ja der springende Punkt. Das ist gegenüber iPhone-Nutzern sicher ein effektiver Schutz. Wer ein Android-Gerät oder gar kein Smartphone hat, wird aber erst nach drei Tagen gewarnt, oder anders gesagt, drei Tage lang ist Tracking eben doch möglich, je nach Situation schlechter oder sogar besser als mit einem GPS-Tracker.
        Natürlich kann man auch Tiere oder Dinge tracken, aber Apple nennt das ja "finden" und auch bei Menschen könnte man es finden nennen, aber der häßliche Begriff "tracken" ist hier angemessener, und Apple redet ja auch von einem "Tracking-Schutz" und nicht von einem "Finden"-Schutz.


      • Ein Saufkopf, der seine Frau verprügelt, wird einen Hacker bezahlen, statt einen Airtag für 35 € zu verwenden, oder gar selbst hoch anspruchsvolle technische Verfahren einsetzen, um ihr Gerät zu tracken (das sie gar nicht haben muss, um sie mit dem Tag zu tracken)? Höchst unwahrscheinlich. Da ist es noch wahrscheinlicher, dass er sich gar kein iPhone leisten kann, um die Tags zu nutzen.


      • @Michael K.
        Welch toller Aufsatz deinerseits, jemand der Stalker werden möchte kann ja noch was lernen bei dir ☝🥸😉


    • bpo vor 3 Wochen Link zum Kommentar

      Das ist nicht wirklich vollständig zu Ende gedacht. Nehmen wir einmal an, du lebst in einer großen Stadt. Egal wohin du gehst, es ist immer ein IPhone in der Nähe.
      Die Dinger sind ziemlich perfekt, besonders für Leute, die mit jemandem zusammen leben und diesen unauffällig tracken wollen.
      Die Frage ist doch, warum erst nach drei Tagen eine Warnung erfolgt, es auf einem anderen iPhone aber sofort erscheint.
      Ich finde Apple müsste hier noch deutlich nachbessern, was die Missbrauchsvorbeugung angeht. Mindestens eine App für andere System ist angesagt, auf denen man diesen Missbrauch sehen kann.


      • Es sind doch nicht alle Brotmesser Mordwerkzeuge, nur weil man damit auch jemanden töten kann. Ähnlich ist es mit den AirTags. Ja, unter gewissen Umständen können sie zum Tracker werden. Aber das ist von anderen, nicht von mir vorhersehbaren Umständen abhängig. Selbst in der Großstadt ist die Wahrscheinlichkeit, dass ich zeitnahe Standortinformationen bekommen von der Tageszeit abhängig. Eine Nebenstraße im ansonsten stark frequentieren Stadtteilen kann an einem Tag völlig menschenleer sein und an anderen Tagen zur gleichen Uhrzeit stark bevölkert. Was mache ich, wenn sich die getrackte Person unerwartet auf das dünn besiedelte Land bewegt?

        Ganz ehrlich, wenn ich jemanden ernsthaft tracken will, ist ein 35 Euro teurer Airtag mit soviel Unsicherheiten behaftet, dass er dafür ungeeignet ist. Hundetracker mit GPS und SIM-Karte sind schon für ähnliche Preise erhältlich, nicht auffälliger, sie piepen nicht und liefern viel zuverlässiger und zeitnah die Positionen.

        Über dem Mißbrauch von Hundetrackern habe ich noch keinen Bericht hier gelesen.


      • Ja und wer wirklich observieren will, der benutzt tools und services die auch dafür gedacht sind.

        Und keine Detektiv Methoden aus der Mikey Maus, denn da könnte man die AirTags für so etwas einordnen.

Zeige alle Kommentare
Neuen Kommentar schreiben:
Alle Änderungen werden gespeichert. Änderungen werden nicht gespeichert!