Sicherheit bei Instant Hotspot
Ein Instant Hotspot ermöglicht es anderen Geräten, eine Verbindung zum persönlichen Hotspot eines iPhone- oder iPad-Geräts herzustellen. iPhone- und iPad-Geräte, die Instant Hotspot unterstützen, verwenden Bluetooth Low Energy (BLE), um Geräte zu erkennen, die beim selben iCloud-Account angemeldet sind, und mit ihnen zu kommunizieren. Dies trifft auch auf Accounts zu, die mit der Familienfreigabe (in iOS 13 und iPadOS) verwendet werden. Kompatible Mac-Computer mit OS X 10.10 (oder neuer) verwenden dieselbe Technologie, um iPhone- und iPad-Geräte mit Instant Hotspot zu erkennen und um mit ihnen zu kommunizieren.
Wenn der Benutzer auf einem Gerät die WLAN-Einstellungen eingibt, sendet das Gerät eine BLE-Ankündigung mit einer Kennung, die alle bei demselben iCloud-Account angemeldeten Geräte verwenden. Diese Kennung wird aus einer mit dem iCloud-Account verknüpften DSID (Destination Signaling Identifier) erzeugt und regelmäßig geändert. Wenn sich andere bei demselben iCloud-Account angemeldeten Geräte in unmittelbarer Nähe befinden und den persönlichen Hotspot unterstützen, erkennen sie das Signal und signalisieren ihre Verfügbarkeit, um Instant Hotspot zu nutzen.
Wenn ein Benutzer, der nicht Teil der Familienfreigabe ist, ein iPhone oder iPad als persönlichen Hotspot auswählt, wird eine Anfrage für die Aktivierung des persönlichen Hotspots an das Gerät gesendet. Die Anfrage wird über eine Verbindung gesendet, die die BLE-Standardverschlüsselung verwendet, und die Anfrage selbst wird ähnlich wie eine iMessage-Nachricht verschlüsselt. Das Gerät sendet dann über dieselbe BLE-Verbindung mit derselben nachrichtenspezifischen Verschlüsselung die Verbindungsinformationen für den persönlichen Hotspot.
Für Benutzer, die an der Familienfreigabe teilnehmen, werden Verbindungsinformationen für Personal Hotspot auf sichere Weise mit einem Mechanismus geteilt, die dem ähneln, der von HomeKit-Geräten zum Synchronisieren von Informationen verwendet wird. Vor allem wird die Verbindung, die Hotspot-Informationen zwischen Benutzern teilt, mit einem kurzlebigen ECDH-Schlüssel (Curve25519) gesichert, der mit den gerätespezifischen öffentlichen Ed25519-Schlüsseln des Benutzers authentifiziert wird. Die verwendeten öffentlichen Schlüssel wurden zuvor zwischen den Teilnehmern der Familienfreigabe synchronisiert. Dazu wurde beim Einrichten der Familienfreigabe IDS eingesetzt.