Apple beseitigt Sicherheitslücke im Sprachassistenten Siri
Das Unternehmen hat nun serverseitig einen Patch installiert. Dadurch kann die Gerätesperre auf einem iPhone 6S oder 6S Plus nicht länger mit Siri im Zusammenspiel mit der 3D-Touch-Funktion umgangen werden, um auf diese Wise Zugang zu Kontakten und Fotos zu erlangen.
Apple hat die vor zwei Tagen bekannt gewordene Schwachstelle in seinem Sprachassistenten Siri beseitigt. Die vom Sicherheitsexperten Jose Rodriguez gefundene Sicherheitslücke machte es möglich, die Gerätesperre auf einem iPhone 6S respektive 6S Plus auszuhebeln und sich Zugang zu Kontakten und Fotos zu verschaffen. Ausnutzen ließ sie sich über die 3D-Touch-Funktion, wenn Siri bei gesperrtem Gerät aktiviert war.
Gestern hat Apple den Fehler durch eine zusätzliche Sicherheitsabfrage korrigiert. Apple hat den Patch serverseitig installiert. Dadurch müssen Besitzer eines iPhone 6S oder 6S Plus also keine Software-Aktualisierung durchführen. Anwender müssen nun zunächst ihr iPhone entsperren, bevor sie Siri vom Sperrbildschirm aus für eine Suche auf Twitter verwenden können. Zuvor fragte der Assistent einfach, wonach er suchen soll. Das erlaubte letztlich das Ausspionieren von Kontaktdaten und Fotos.
Laut Rodriguez, der schon im September 2013 und im September 2015 auf ähnliche Sicherheitslücken in iOS 7 beziehungsweise iOS 9 hingewiesen hatte, musste der Sprachassistent durch langes Drücken des Home-Button oder mittels Sprachbefehl zunächst aufgeweckt und zu einer Suche auf Twitter aufgefordert werden. Enthielten die Resultate Kontaktdaten wie eine E-Mail-Adresse, ließ sich mittels 3D Touch ein Kontextmenü mit den Optionen aufrufen, eine E-Mail zu versenden oder Kontaktdaten hinzuzufügen beziehungsweise zu bearbeiten. Wurde in dem 3D-Touch-Schnellwahlmenü der Punkt “Zu bestehendem Kontakt hinzufügen” gewählt, öffnete sich die iPhone-Kontaktliste, über die sich für die Bildauswahl auch auf dem Gerät gespeicherte Fotos anzeigen ließen.
Gegenüber AppleInsider erklärte Rodriguez, die Lücke könne bei Nutzung von Siri auch für eine Suche in der WhatsApp-Kontaktliste ausgenutzt werden. Seine Methode funktionierte bis zum mittlerweile eingespielten Patch auch noch unter dem aktuellen iOS 9.3.1. Allerdings mussten dafür einige Voraussetzungen erfüllt sein. Vor allem musste der Gerätebesitzer Siri zuvor Zugang zum Twitter-Konto, der Fotobibliothek und verwandten Anwendungen zugestanden haben – entweder über eine Siri-Suche oder die manuelle Konfiguration der Dienstberechtigungen in den Einstellungen.
Außer der Siri-Lücke hat Apple laut 9to5Mac noch einen anderen, nicht sicherheitsrelevanten Fehler korrigiert, durch den sich der Night-Shift-Modus im Stromsparmodus einschalten ließ. Dies funktionierte ebenfalls unter Einsatz von Siri. Fordert der Nutzer den Sprachassistenten nun dazu auf, Night Shift einzuschalten, solange sich das Gerät im Low-Power-Modus befindet, erhält er als Antwort: “Um Night Shift einzuschalten, muss ich zunächst den Stromsparmodus ausschalten. Soll ich fortfahren?”
[mit Material von Björn Greif, ZDNet.de]
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.