Apple iPhone 6S und 6S Plus

Sicherheitslücke ermöglicht Zugriff auf Fotos und Kontakte

05.04.2016
Siri ist auf dem iPhone 6S und 6S Plus deutlich zu freundlich: Durch eine Sicherheitslücke auf dem iPhone ist es nämlich möglich, über die Sprachassistentin trotz gesperrtem Smartphone auf Bilder und Kontakte zuzugreifen.
Die 3D-Touch-Geste des iPhone 6S ermöglicht den unbefugten Zugriff auf Fotos und Kontakte.
Die 3D-Touch-Geste des iPhone 6S ermöglicht den unbefugten Zugriff auf Fotos und Kontakte.
Foto: Apple

Eine Sicherheitslücke auf dem iPhone 6S und iPhone 6S Plus sorgt dafür, dass selbst auf einem gesperrten iPhone auf Bilder und Kontakte zugegriffen werden kann. Möglich machen das die speziellen Optionen, die sich auf den iPhones mit drucksensiblem Display abrufen lassen. Gefunden hat den Fehler Jose Rodriguez, der auch schon im September des vergangenen Jahres eine Sicherheitslücke im Zusammenhang mit Apples Sprachassistentin gefunden hat. Er zeigt das genaue Vorgehen in einem Video (siehe unten).

Für den Zugriff wird Siri auf dem iPhone über den Sprachbefehl "Hey Siri" oder einen langen Druck auf dem Homebutton zunächst aufgefordert eine Suche bei Twitteroder WhatsApp durchzuführen. Enthält eines der angezeigten Ergebnisse Kontaktdaten wie eine E-Mail-Adresse oder Telefonnummer, lässt sich nun über eine 3D-Touch-Geste das Kontextmenü aufrufen. Hier gibt es die Möglichkeit, dem Kontakt eine E-Mail zu schreiben oder den eigenen Kontakten hinzuzufügen.

Wird an dieser Stelle die Option ausgewählt, den Kontakt zu den bestehenden Kontakten hinzuzufügen, landen potentielle Angreifer in der Kontaktliste und haben so Zugriff auf alle auf dem iPhone hinterlegten Kontakte und können diese beliebig manipulieren. Wird hier nun die Option zum Hinzufügen eines Kontaktbildes genutzt, öffnet sich die Galerie des iPhone und bietet zudem auch den Zugriff auf alle auf dem iPhone gespeicherten Bilder.

Mehrere Voraussetzungen notwendig

Damit potentielle Übeltäter die Sicherheitslücke ausnutzen können, müssen allerdings mehrere Bedingungen gegeben sein: Zunächst müssen Besitzer des iPhone 6S oder iPhone 6S Plus Siri den Zugriff auf den Twitter- oder WhatsApp-Account sowie Bilder und Kontakte gewährt haben. Zudem muss die Siri-Funktion mit der Suche über Twitter oder WhatsApp bereits einmal genutzt worden sein, da beim ersten Mal noch das Passwort oder der Fingerabdruck zur Bestätigung der Identität verlangt werden.

Wer auf Nummer sicher gehen möchte, kann in den Einstellungen des iPhone bei Twitter den Zugriff von Siri deaktivieren. Die Deaktivierung von Siri im Menü Einstellungen - Privatsphäre - Fotos, verhindert zusätzlich den Zugriff der Sprachassistentin auf die Foto-Galerie.

powered by AreaMobile

 

MBremmer

Dafür hat Apple das Problem aber ziemlich schnell gefixt :-)

Mark Zimmermann

Und abgesehen davon, nachvollziehen konnte ich das Vorgehen im Video nicht ...

Mark Zimmermann

Also ja es ist unschön ... Aber das ist doch wieder einmal Steinalt.

So habe ich bereits im Kommentar : http://www.computerwoche.de/a/... Beschreiben das man die gleichen Daten auch bei Siri seit längerem einsehen kann.

iOS wird damit nicht gehackt. Das Adressbuch steht in iOS auf NSFileProtectionUntilFirstUnlock ... D.h. Nach einem Neueinschalten oder nach einem Geräteneustart sind die Daten verschlüsselt (dann klappt das obige auch nicht) und werden mir erster erfolgreichen Anmeldung wieder Entschlüsselt und liegen ab dann entschlüsselt vor (wer will schon immer "Unbekannter " Anrufer stehen haben ;-) ).

Fotos gehören ebenfalls zu den nicht verschlüsselten Daten. Wo ist also die Sicherheitslücke ? Es ist erschreckend wie in letzter Zeit Angstmache betrieben wird.

comments powered by Disqus