Forscher des deutschen Sicherheitsanbieters SR Labs haben einen Fehler in iOS 7 entdeckt, der es einem Dieb ermöglicht, das Löschen des Geräts aus der Ferne zu verhindern. In einem Video zeigen sie, dass sich auch bei einem gesperrten Gerät ohne Eingabe eines Passworts über das neue Kontrollzentrum der Flugmodus aktivieren lässt.
Der Flugmodus schaltet jegliche Verbindung zum Internet wie WLAN und Mobilfunk ab. Somit verhindert er, dass das gestohlene Smartphone mithilfe der Funktion „Mein iPhone suchen“ geortet werden kann.
Die Schwachstelle gibt SR Labs zufolge Dieben auch genug Zeit, um einen gefälschten Fingerabdruck herzustellen und den biometrischen Scanner des iPhone 5S auszutricksen. Danach könne die Funktion zum Zurücksetzen von Passwörtern verwendet werden, um die iCloud- und iTunes-Konten sowie alle anderen mit dem gestohlenen Gerät verbundenen Konten des Opfers zu knacken.
„Die Fehler, die wir am Ende des Videos auflisten, umreißen die Schritte, die Apple in Betracht ziehen sollte, um die durch neue Funktionen in iOS und/oder den Fingerabdruckscanner des iPhone 5S eingeführten oder verstärkten Schwachstellen zu minimieren“, erklärte SR Labs in einem Interview mit ZDNet.com. Priorität habe ein Fehler in der Implementierung von „Mein iPhone suchen“, der es einem Dieb erlaube, mit einem gestohlenen iPhone auf das Internet und E-Mails zuzugreifen, obwohl der eigentliche Besitzer schon die Löschung des Geräts veranlasst habe. „Das ist der Fehler, der es dem Dieb in dem Video ermöglichte, die Apple-ID des Opfers zu übernehmen.“
Unter iOS 6 war der Flugmodus erst nach dem Entsperren des Geräts zugänglich. SR Labs fordert von Apple nun, den Zugriff auf den Flugmodus aus dem Kontrollzentrum zu entfernen und das Abschalten der Funkverbindungen mit einer PIN-Abfrage zu verknüpfen.
Darüber hinaus solle Apple seinen Kunden bei der Einrichtung einer Apple-ID empfehlen, keine E-Mail-Konten auf einem iOS-Gerät zu hinterlegen, die bei irgendwelchen Online-Diensten für die Wiederherstellung von Anmeldedaten hinterlegt seien, ergänzte SR Labs. Nach der Wiederherstellung der Internetverbindung solle iOS vor dem Abrufen von E-Mails zudem zuerst mit iCloud Kontakt aufnehmen, um herauszufinden, ob eine Löschung des Geräts aus der Ferne veranlasst wurde.
Wie sich die von Apple mit dem iPhone 5S eingeführte biometrische Sicherheitsfunktion Touch ID aushebeln lässt, hatte ein Mitglied des Chaos Computer Club schon am 21. September vorgeführt. Er folgerte daraus, „dass biometrische Daten zur Verhinderung eines unberechtigten Zugriffs vollkommen ungeeignet sind“.
[mit Material von Liam Tung, ZDNet.com]
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
