Polizei warnt vor ungewollter Datenübertragung: Was ist dran an „NameDrop“?

Per Berührung erfahren, was ein anderer weiß? Was nach Science Fiction klingt, können Apples iPhones schon länger. Die Funktion heiß AirDrop und überträgt unter anderem Daten, Bilder und Musik. Mit dem Update auf iOS 17 ist die neue Funktion NameDrop hinzugekommen, mit der nun auch Kontaktinformationen ausgetauscht werden können. Glaubt man der Werbung, ist dies durch bloßes Annähern zweier iPhones möglich, selbst durch die Scheiben einer fahrenden U-Bahn.

In diesem Zusammenhang warnen mehrere Polizeidienststellen der USA vor der ungewollten Weitergabe persönlicher Informationen. Die Funktion stelle insbesondere für Kinder ein Risiko dar. Ganz so einfach funktioniert NameDrop nicht, das musste auch die Polizei im Nachhinein eingestehen. Es gibt jedoch andere Sicherheitsrisiken, die sich weder auf Apple im Speziellen noch auf Smartphones im Allgemeinen beschränken.

Eltern, achtet auf eure Kinder!

Mehrere Polizeidienststellen in Pennsylvania, Oklahoma, Ohio und anderen US-Bundesstaaten warnten vor dem unbeabsichtigten Austausch von Kontaktinformationen, „wenn man seine Telefone nur nahe genug zusammenbringt“.

So schrieb das Polizeidepartement der Stadt Chester, Ohio, auf Facebook:

„Wichtiges Update zum Datenschutz: Wenn Sie ein iPhone besitzen und das jüngste iOS 17-Update durchgeführt haben, wurde eine neue Funktion namens NameDrop standardmäßig eingeschaltet. Diese Funktion ermöglicht die Weitergabe von Kontaktinformationen, indem Sie Ihre Telefone nahe aneinander bringen.“

Gleichzeitig mahnte die Polizei Eltern: „Vergessen Sie nicht, diese Einstellungen nach der Aktualisierung auch auf den Telefonen Ihrer Kinder zu ändern, um sie ebenfalls zu schützen!“

Wie die „Washington Post“ unter dem Titel „NameDrop ist sicher, die Panikmache darüber nicht“ berichtete, veröffentlichten weitere Polizeistellen ähnliche Warnungen, die teils mehrere 10.000 Mal geteilt wurden. Später erklärte unter anderem die Polizei von Dewey County, Pennsylvania:

„Die Absicht des Beitrags war es, die Eltern dazu zu bringen, sich mit ihren Kindern und dem, was sie auf ihren Geräten tun, zu beschäftigen, und nicht, wie vorgeschlagen, Angst zu schüren. Wir empfehlen allen, sich über neue Technologien und Updates zu informieren, um mehr darüber zu erfahren, was es alles gibt, insbesondere für Kinder.“

NameDrop, nur lästig statt gefährlich?

Das Medienecho ist allgemein eher positiv, so beginnt die „Washington Post“ ihren Artikel plakativ mit den Worten „Machen Sie sich keine Sorgen“.

„Wired“ titelte „Nein, Sie müssen die NameDrop-Funktion von Apple in iOS 17 nicht deaktivieren“. Bereits in der Einleitung bestätigen sie indes, dass Apple die Funktion mit dem neuesten Software-Update automatisch einschaltet. Sodann beschwichtigt das Magazin iPhone-Nutzer: „Aber Sie sollten sich darüber keine Sorgen machen – unabhängig davon, was die Polizei sagt.“

Auf den zweiten Blick birgt die Funktion – wie viele andere – dennoch Risiken, die auch von der deutschen Presse meist nicht angesprochen werden. Doch der Reihe nach:

Apple hat mit iOS 17.1 und watchOS 10.1 die neue Funktion namens NameDrop eingeführt. Sie soll es Nutzern ermöglichen, Apple-Geräte in der Nähe eines anderen zu platzieren, um schnell Kontaktinformationen auszutauschen. Das Teilen von Kontaktinformationen erfolge mit ausdrücklicher Erlaubnis des Nutzers.

Demzufolge müssen beide Geräte sich fast berühren und entsperrt sein. Ist dies erfüllt, erscheint ein Pop-up-Fenster, in dem die Benutzer aufgefordert werden, Kontaktinformationen oder ein Bild zu teilen. Erst nach Freigabe durch den Nutzer beginne der Datenaustausch über Bluetooth und/oder WLAN. Ein versehentlicher oder missbräuchlicher Austausch könne nur erfolgen, wenn beide Nutzer all die Aufforderungen bestätigen.

Wer selbst ein Smartphone nutzt, weiß jedoch, dass Benachrichtigungen mitunter schneller angetippt oder weggewischt sind, als man lesen kann. Eine ungewollte Weitergabe ist also durchaus denkbar.

Die Website „MacRumors“ – also Gerüchte um Apple-Rechner – beschreibt die Warnungen ebenfalls als Fehlinformationen. Die Autorin beruft sich dabei auf Fernsehinterviews, die nahelegen, dass NameDrop automatisch erfolge. Angesichts der nötigen Aktionen, um die Funktion zu nutzen, schlussfolgert sie: „Wenn überhaupt, dann ist NameDrop eher lästig als gefährlich.“ Beispielsweise, wenn Telefone beim Abendessen oder bei einem Meeting nahe beieinander liegen.

„Nahe beieinander“ scheint indes keine zwingende Voraussetzung zu sein, wie Apple an anderer Stelle schreibt.

„Gedankenlesen“ theoretisch auch aus der Ferne möglich

Apple hat die Funktion NameDrop erstmals auf der Entwicklerkonferenz im Juni 2023 vorgestellt. Mit dem neuen iOS-Update können Nutzer sie tatsächlich nutzen. Dazu heißt es auf der Hilfe-Website von Apple:

„Mit iOS 17.1 und watchOS 10.1 kannst du NameDrop verwenden, um deine Kontaktinformationen schnell mit einem iPhone oder einer Apple Watch in der Nähe zu teilen.“ Zugleich schreibt Apple, dass man dazu die Geräte „einige Zentimeter“ oder „dicht“ aneinander halten muss. Anschließend müssen Nutzer auswählen und bestätigen, welche Daten übertragen werden sollen. Überlegt man es sich anders, könne man die Übertragung abbrechen, indem man die Geräte voneinander entfernt.

Ob dies die sicherste Methode ist, ist umstritten, vor allem da Apple bezüglich AirDrop – der vergleichbaren Funktion für Dateien – schreibt: „Wenn [ein Gerät die Reichweite] der AirDrop-Übertragung verlässt, wird die Übertragung über das Internet fortgesetzt.“ Technisch ist es also möglich, (Kontakt-)Informationen auch über längere Entfernungen zu übertragen. Auch Satellitenübertragungen sind nicht auszuschließen.

NameDrop ohne Wissen der Nutzer aktiviert

Der größte Kritikpunkt ist jedoch, dass die Funktion beim Update auf iOS 17 serienmäßig eingeschaltet ist. Nutzer, die auf Nummer sichergehen wollen, müssen selbst aktiv werden. Das Ausschalten von NameDrop erfordert seinerseits zu wissen, in welchem Menüpunkt die Funktion aufgeführt ist:

1. Die App „Einstellungen“ öffnen
2. „Allgemein“ auswählen
3. „AirDrop“ auswählen
4. „Geräte aneinanderhalten“ auswählen und deaktivieren.

Eine andere Möglichkeit ist, AirDrop insgesamt zu deaktivieren oder die Funktionen des Smartphones generell einzuschränken und WLAN, Bluetooth und Mobile Daten auszuschalten.

Apple-Aussage bestätigt Zweifel

Wie ein Apple-Sprecher gegenüber „USA Today“ bekräftigte, diene NameDrop dem Austausch „ausschließlich mit beabsichtigten Empfängern“. Nutzer könnten zudem auswählen, welche Informationen geteilt und welche nicht geteilt werden. Eine automatische Übermittlung von Kontakten wie bei Corona-Apps finde nicht statt.

„Wenn NameDrop auf einem Gerät angezeigt wird und der Benutzer keine Kontaktinformationen teilen oder austauschen möchte, kann er einfach eine Wischbewegung vom unteren Rand des Displays ausführen, sein Gerät sperren oder sein Smartphone wegbewegen, falls die Verbindung noch nicht hergestellt wurde“, so Apple.

Letzteres unterstützt die Aussage der Fortsetzung einer bestehenden Verbindung jenseits der AirDrop-Reichweite. Mit anderen Worten, eine bereits bestehende Verbindung kann durch Entfernen nicht unterbrochen werden.

Auch, dass NameDrop nur bei entsperrtem Gerät verwendet werden könne, ist nur ein leichter Trost, denn mit dem Wegfall des Home-Buttons beim iPhone X ist auch der Fingerabdrucksensor verschwunden. Die stattdessen angebotene Gesichtserkennung hat sich – zumindest bei anderen Herstellern – als notorisch unsicher erwiesen. So konnte man ein Gerät trotz geschlossener Augen entsperren. Das heißt, wer das Handy eines Schlafenden vor dessen Gesicht hält, kann unter Umständen auf das Telefon zugreifen.

Schließlich bleibt auch zu erwähnen, dass sich Touchbildschirme, einschließlich denen von Handys und Smartphones, gänzlich ohne Berührungen steuern lassen. Damit ist es grundsätzlich möglich, die nötigen Freigaben der AirDrop- und NameDrop-Funktionen aus der Ferne zu erteilen. In der Anfang 2022 durchgeführten Studie beschränkte sich dies in der Praxis zwar auf wenige Zentimeter, andererseits muss der Bildschirm dabei nicht direkt gesehen werden. So gelang es den Forschern, Smartphones auch von der Rückseite oder durch eine Tischplatte hindurch zu bedienen.