AirDrop-Sicherheit
Apple-Geräte, die AirDrop unterstützen, verwenden BLE (Bluetooth Low Energy) sowie von Apple entwickelte, Peer-To-Peer-basierte WLAN-Technologien, um Dateien und Informationen an Geräte in der Nähe zu senden, zum Beispiel an AirDrop-fähige iOS- und iPad-Geräte mit iOS 7 (und neueren Versionen) und an Mac-Computer mit OS X 10.11 (und neueren Versionen). Die Geräte kommunizieren direkt per WLAN-Funk miteinander, ohne dass eine Internetverbindung oder ein Zugangspunkt (Access Point, AP) benötigt wird. Diese Verbindung ist mithilfe von TLS verschlüsselt.
AirDrop verwendet standardmäßig die Freigabeeinstellung „Nur Kontakte“. Benutzer können in AirDrop aber auch die Freigabe für „Alle“ auswählen oder die Funktion komplett deaktivieren. Für Geräte und Apps, die mit einer Lösung für die Mobilgeräteverwaltung (Mobile Device Management, MDM) verwaltet werden, kann die Verwendung von AirDrop eingeschränkt werden.
AirDrop-Funktionsweise
AirDrop nutzt iCloud-Dienste, um Benutzer bei der Authentifizierung zu unterstützen. Wenn sich ein Benutzer bei iCloud anmeldet, wird eine 2048-Bit-RSA-Identität auf seinem Gerät gespeichert. Wenn ein Benutzer AirDrop aktiviert, wird – als Hash-Wert – eine AirDrop-Kurzidentität erstellt, die auf den E-Mail-Adressen und den Telefonnummern basiert, die für die Apple-ID des Benutzers hinterlegt sind.
Wenn ein Benutzer AirDrop als Methode für die Freigabe (das Teilen) eines Objekts wählt, übermittelt das sendende Gerät per BLE ein AirDrop-Signal, das den Hash-Wert der AirDrop-Kurzidentität des Benutzers enthält. Andere Apple-Geräte in der unmittelbaren Umgebung, die sich nicht im Ruhezustand befinden und auf denen AirDrop aktiviert ist, erkennen dieses Signal und antworten per Peer-To-Peer-WLAN, sodass das sendende Gerät die Identität eines antwortenden Geräts erkennen kann.
Im Modus „Nur Kontakte“ wird der empfangene Hash-Wert der AirDrop-Kurzidentität mit den Hash-Werten der Personen abgeglichen, die in der App „Kontakte“ auf dem empfangenden Gerät enthalten sind. Bei einer Übereinstimmung antwortet das empfangende Gerät per Peer-To-Peer-WLAN mit seinen Identitätsinformationen. Kommt es zu keiner Übereinstimmung, antwortet das Gerät nicht.
Im Modus „Alle“ kommt derselbe Gesamtprozess zum Einsatz. Allerdings antwortet bei diesem Modus das empfangende Gerät auch, wenn in der App „Kontakte“ des Geräts keine Übereinstimmung gefunden wird.
Das sendende Gerät initiiert daraufhin eine AirDrop-Verbindung per Peer-To-Peer-WLAN und verwendet diese Verbindung, um den Hash-Wert der Identität in der Langversion an das empfangende Gerät zu senden. Wenn diese Langversion zu einer Übereinstimmung mit einer bekannten Person in der App „Kontakte“ auf dem empfangenden Gerät führt, antwortet das empfangende Gerät mit der Langversion des Hash-Werts der eigenen Identität.
Nachdem die Hash-Werte verifiziert wurden, werden der Vorname und (sofern in der App „Kontakte“ enthalten) das Foto des Empfängers auf dem sendenden Gerät auf der Freigabeseite (Share Sheet) für AirDrop angezeigt. In iOS und iPadOS erscheinen sie im Abschnitt „Personen“ oder „Geräte“. Für Geräte, die nicht verifiziert und authentifiziert wurden, werden auf dem sendenden Gerät auf der Freigabeseite (Share Sheet) für AirDrop ein Symbol in Form einer Silhouette und der Gerätename angezeigt, der im Bereich „Einstellungen“ > „Allgemein“ > „Info“ > „Name“ eingestellt ist. In iOS und iPadOS erscheinen sie auf der Freigabeseite (Share Sheet) für AirDrop im Abschnitt „Andere Personen“.
Der Benutzer des sendenden Geräts kann daraufhin angeben, mit welcher Person er seine Inhalte teilen möchte. Bei der Benutzerauswahl initiiert das sendende Gerät zum Austausch der iCloud-Identitätszertifikate eine (per TLS) verschlüsselte Verbindung zum empfangenden Gerät. Die Identität in den Zertifikaten wird mit den Angaben in der App „Kontakte“ der beteiligten Benutzer abgeglichen.
Wenn die Zertifikate verifiziert werden, wird der Benutzer des empfangenden Geräts aufgefordert, die eingehende Dateiübertragung vom identifizierten Benutzer bzw. Gerät zu akzeptieren. Wenn mehrere Empfänger ausgewählt wurden, wird dieses Verfahren für jede Zielperson wiederholt.