Flugmodus von iOS 7: Deutsche Experten decken Sicherheitslücke auf

MobileMobile OSSicherheitSicherheitsmanagement
iphone-ios7

Über das Kontrollzentrum kann der Flugmodus auch ohne Passworteingabe aktiviert werden. Das iOS-Gerät verliert so die Verbindung zum Internet. Ein Dieb kann so möglich, die Ortung eines iPhones oder iPads sowie das Löschen aus der Ferne verhindern.

Experten des deutschen Sicherheitsanbieters SR Labs haben einen Fehler in iOS 7 aufgedeckt. Über die Lücke ist es einem Dieb möglich, das Löschen des Geräts aus der Ferne zu verhindern. In einem Video zeigen sie, dass sich der Flugmodus auch bei einem gesperrten Gerät über das neue Kontrollzentrum auch ohne Passworteingabe aktivieren lässt. Im Flugmodus wird jegliche Verbindung zum Internet abgeschaltet. Somit verhindert er auch, dass das gestohlene Smartphone über die Funktion “Mein iPhone suchen” geortet werden kann.

iphone-ios7

Die Schwachstelle gibt SR Labs zufolge Dieben auch genug Zeit, um einen gefälschten Fingerabdruck herzustellen und so den biometrischen Scanner auszutricksen. Die Funktion könne dann verwendet werden, um Passwörter zurücksetzen, um die iCloud- und iTunes-Konten sowie alle mit dem gestohlenen Gerät verbundenen Konten des Opfers zu knacken.

“Die Fehler, die wir am Ende des Videos auflisten, umreißen die Schritte, die Apple in Betracht ziehen sollte, um die durch neue Funktionen in iOS und/oder den Fingerabdruckscanner des iPhone 5S eingeführten oder verstärkten Schwachstellen zu minimieren”, sagte SR Labs in einem Interview mit ZDNet.com. Priorität habe ein Fehler in der Implementierung von “Mein iPhone suchen”, der es einem Dieb erlaube, mit einem gestohlenen iPhone auf das Internet und E-Mails zuzugreifen, obwohl der eigentliche Besitzer die Löschung des Geräts schon veranlasst habe. “Das ist der Fehler, der es dem Dieb in dem Video ermöglichte, die Apple-ID des Opfers zu übernehmen.”

SR Labs fordert Apple auf, den Zugriff auf den Flugmodus aus dem Kontrollzentrum zu entfernen und das Abschalten der Funkverbindungen mit einer PIN-Abfrage zu verknüpfen. Unter iOS 6 war der Flugmodus erst nach dem Entsperren des Geräts zugänglich.

Laut den Sichehreitsexperten solle Apple seinen Kunden bei der Einrichtung einer Apple-ID zudem empfehlen, auf einem iOS-Gerät keine E-Mail-Konten zu hinterlegen, die bei Online-Diensten für die Wiederherstellung von Anmeldedaten genutzt würden. Nach der Wiederherstellung der Internetverbindung solle iOS vor dem Abrufen von E-Mails zudem zuerst mit iCloud Kontakt aufnehmen, um herauszufinden, ob eine Löschung des Geräts aus der Ferne veranlasst wurde.

[mit Material von Stefan Beiersmann, ZDNet.de]

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen