Fehler in iOS 7.1.1 setzt Gerätesperre außer Kraft

MobileMobile OSSicherheitSicherheitsmanagement
ios7 Logo

Die Lücke befindet sich offenbar im Sprachassistenten Siri. Dieser muss jedenfalls aktiv sein, wenn ein Angreifer sie ausnutzen will. Dritte mit direktem iPhone-Zugriff können dann ohne Passworteingabe Zugang zum Adressbuch erhalten. Es sind wohl alle iPhone-Modelle, betroffen, die Unterstützung für Siri bieten.

Ein ägyptischer Hacker hat eine neue Lücke in iOS 7.1.1 entdeckt. In einem Youtube-Video demonstriert Sherif Hashim, wie sich Kontakte selbst bei aktivierter Gerätesperre ohne Eingabe eines Passworts anzeigen lassen.

Ein ägyptischer Hacker hat eine neue Lücke in iOS 7.1.1 entdeckt

Die Methode funktioniert jedoch nur, wenn der digitale Sprachassistent Siri auch auf dem Sperrbildschirm verfügbar ist. Wird ein gesperrtes iPhone per Spracheingabe aufgefordert, die Kontakte-App zu öffnen, wird der Zugang mit Verweis auf die aktive Gerätesperre zunächst verweigert. Daraufhin versucht Hashim in seinem Video jedoch einen Anruf zu initiieren.

Statt die Rückfrage von Siri nach dem Namen einer bestimmten Person zu beantworten, tippt er nur einen einzigen Buchstaben in das Bearbeitungsfeld ein. Im Anschluss daran erscheint eine aus dem Adressbuch stammende Namensübersicht mit den Kontakten, die diesen Buchstaben enthalten. Ein Klick auf “Weitere” startet schließlich die Kontakte-App.

So ist es möglich, beliebige Personen aus dem Adressbuch anzurufen. “Meiner Ansicht nach bedeutet ein sicherer Passwortschutz in iOS 7.1.1 nicht, dass jeder auf meine Kontakte zugreifen und jeden anrufen kann, während mein Gerät gesperrt ist”, sagt Hashim in der Einleitung des Videos. “Apple hat da offenbar andere Vorstellungen.”

Die US-Ausgabe von ZDNet konnte den Fehler anhand von Tests nachvollziehen. Er tritt mutmaßlich auf allen iPhones auf, die Siri unterstützen. Unbefugte mit direktem Zugriff auf ein Apple-Smartphone können dann nicht nur Telefonnummern auslesen, sondern alle im Adressbuch hinterlegten Informationen abgreifen.

Betroffene Nutzer sollten daher den Siri-Zugriff vom Sperrbildschirm aus abschalten. Hierfür muss in den Einstellungen unter dem Punkt Code bei “Im Sperrzustand Zugriff erlauben” der Schieberegler für Siri auf “Aus” gestellt werden.

Einen ähnlichen Fehler hatte Apple bereits im September 2013 mit dem Update auf iOS 7.0.2 beseitigt. Damals konnte der Sperrbildschirm mittels einer besonderen Zeichenabfolge umgangen werden.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen