Gravierende Lücke
iOS 9.3.1: Neuer Mega-Fehler entdeckt
05.04.2016
Unbefugte können sich ganz einfach Zugriff auf die iPhone-Inhalte verschaffen.
Eigentlich hätte mit der Veröffentlichung von iOS 9.3.1 alles gut werden sollen. Doch wie sich nun zeigt, ist das leider nicht der Fall. Das jüngste Update des Betriebssystems für mobile Apple-Geräte hat zwar das Problem mit den nicht funktionierenden Safari-Links aus der Welt geschafft, enthält jedoch eine gravierende Sicherheitslücke.
Siri und 3D Touch ausgenutzt
Konkret sind von dem schweren Fehler alle Besitzer eines iPhone 6s
oder 6s Plus betroffen. Wie 9to5Mac berichtet, können sich Unbefugte äußert einfach Zugriff auf private Daten der User verschaffen – trotz aktiviertem Lockscreen. Angreifer können den Fehler ausnutzen, in dem sie Siri und 3D Touch gegeneinander ausspielen. In einem 50 Sekunden langen YouTube-Video wird vorgeführt, wie einfach das Ganze funktioniert. Bekommt ein Fremder ein iPhone 6s (Plus) in die Hände, muss er nur am Lockscreen per Siri eine Twitter-Suche nach einer gängigen E-Mail-Domain (@hotmail.com, @gmail.com, etc.) starten. Im Anschluss daran erscheint auf dem Display eine Liste mit gefundenen E-Mail-Adressen. Nun kann der Angreifer per 3D Touch eine dieser Adressen auswählen und mit einem festeren Druck das Kontextmenü öffnen. In diesem gibt es dann diverse Optionen. Entscheidet man sich beispielsweise dafür, die E-Mail-Adresse zu einem bestehenden Kontakt hinzuzufügen, bekommt man Zugriff auf alle am iPhone gespeicherten Kontakte. Doch das ist noch nicht alles: Denn bei der Option „Neuen Kontakt erstellen“ gibt es die Möglichkeit, dass man dem Kontakt ein Bild hinzufügt. Nimmt man diese Möglichkeit in Anspruch, bekommt man Zugriff auf das gesamte Fotoalbum des iPhones. Zur Erinnerung: Das Apple-Smartphone ist dabei eigentlich gesperrt und in den Händen eines Fremden!
Noch keine Lösung, aber man kann sich schützen
Laut 9to5mac hat sich Apple zu dem gravierenden Bug noch nicht geäußert. Da er nur in Verbindung mit 3D Touch funktioniert, sind Besitzer älterer iPhones nicht davon betroffen. Bis Apple die Lücke schließt, sollten iPhone 6s (Plus) Eigner die Möglichkeit, das Siri auch bei aktiviertem Lockscreen funktioniert, deaktivieren. Das funktioniert ganz einfach in den Einstellungen (Allgemein > Siri):