Lücke in iOS 7.1.1 macht Gerätesperre unwirksam

Der Fehler steckt offenbar im Sprachassistenten Siri, der aktiv sein muss. Ein Unbefugter mit direktem Zugriff auf ein iPhone erhält ohne Eingabe eines Passworts Zugriff auf das Adressbuch. Vermutlich sind alle iPhone-Modelle betroffen, die Siri unterstützen.

Ein ägyptischer Hacker hat eine Zero-Day-Lücke in iOS 7.1.1 entdeckt. In einem Youtube-Video zeigt Sherif Hashim, wie sich bei aktivierter Passwortsperre auch ohne Eingabe eines Kennworts Kontakte anzeigen lassen.

ios7-logo

Das Verfahren funktioniert allerdings nur, wenn der digitale Assistent Siri auch auf dem Sperrbildschirm zur Verfügung steht. Wird ein gesperrtes iPhone per Spracheingabe aufgefordert, die Kontakte-App zu öffnen, wird dies mit Hinweis auf die aktive Gerätesperre zuerst verweigert. Danach versucht Hashim in seinem Video einen Anruf zu starten. Statt die Rückfrage von Siri nach dem Namen einer Person zu beantworten, gibt er lediglich einen Buchstaben in das Bearbeitungsfeld ein. Daraufhin erscheint eine Übersicht mit Namen aus dem Adressbuch, die diesen Buchstaben erhalten. Ein Klick auf „Weitere“ öffnet schließlich die Kontakte-App.

Anschließend ist es möglich, beliebige Kontakte aus dem Adressbuch anzurufen. „Meiner Ansicht nach bedeutet ein sicherer Passwortschutz in iOS 7.1.1 nicht, dass jeder auf meine Kontakte zugreifen und jeden anrufen kann, während meine Gerät gesperrt ist“, heißt es in der Einleitung des Videos. „Apple hat offenbar andere Vorstellungen.“

ZDNet USA konnte den Fehler Tests nachvollziehen. Mutmaßlich funktioniert er auf allen iPhones, die Siri unterstützen. Unbefugte mit direktem Zugriff auf ein Apple-Smartphone können dann nicht nur Telefonnummern auslesen, sondern alle im Adressbuch hinterlegten Informationen.

Betroffene Nutzer sollten den Zugriff auf Siri vom Sperrbildschirm aus deaktivieren. Dafür muss in den Einstellungen unter dem Punkt Code bei „Im Sperrzustand Zugriff erlauben“ der Schieber für Siri auf „Aus“ gestellt werden.

Einen ähnlichen Fehler hatte Apple im September 2013 mit iOS 7.0.2 behoben. Damals konnte die Bildschirmsperre durch eine bestimmte Abfolge von Zeichen ausgetrickst werden.

[mit Material von Zack Whittaker, ZDNet.com]

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Secure-IT, iOS, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

5 Kommentare zu Lücke in iOS 7.1.1 macht Gerätesperre unwirksam

Kommentar hinzufügen
  • Am 10. Mai 2014 um 18:47 von Fabian

    Also ich deaktiviere Siri im Sperrbdschirm nicht. Ich als Motorradfahrer mit einem Scala Rider (Freisprecheinrichtung für einen Helm btw) habe ja nicht das Handy während der fahrt an oder? Ist ja auch bescheuert. Wenn ich jetzt jedoch eine Nachricht bekomme oder jemandem anrufen will, brauche ich Siei am Sperrbildschirm. Mir doch egal ob jemand meine Kontakte anrufen kann…Klar meine Kontakte sind da nicht sehr begeistert drüber aber ich bin darauf angewiesen und nutze es auch ;-) Achso und ich denke halbwegs normal ;-) Man muss nur mal den Horizont erweitern :p

  • Am 9. Mai 2014 um 14:59 von Dieterdreist

    Übrigens hilft es nicht, Siri zu deaktivieren, weil dann trotzdem noch die nicht deaktivierbare Sprachsteuerung (klassisch) aktiv ist und man von dort aus auch anrufen kann. Ist mir schon lange aufgefallen.

    • Am 9. Mai 2014 um 16:39 von Chris

      Der fehler ist wie vom Vorredner schon lange Bekannt es wurde beim upgrade von 6xxx auf 7.01 das erste mal bekannt danach war es schon ein wenig besser. aber mal ganz ehrlich welcher Halbwegs normal denkende IPhone Ipad Nutzer hat eine aktivierung von Siri im Sperrbildschirm aktiv ? wozu hab ich denn eine Gerätesperre wenn Langfinger danach mit meinem Siri kommunizieren könnten also bitte. Diese Debatte über diese angebliche Sicherheitslücke, kommt einem nach einer Zeit auch evtl gewollt vor :P

      Denn umsonst gibt es im Menü nicht den Punkt Siri im Sperrbildschirm nicht zulassen

      mgh kekz

  • Am 9. Mai 2014 um 11:52 von oli

    Die Überschrift des Artikels suggeriert aber was anderes.

    Die Gerätesperre ist sehr wohl aktiv, den der Rest ist und bleibt verschlüsselt. Sicher kann man alle Kontakte auslesen und Telefonieren, aber alle anderen Daten sind gesichert und auch weiterhin verschlüsselt.

    • Am 9. Mai 2014 um 11:59 von Florian Kalenda

      Die Gerätesperre ist in Bezug auf den Schutz der Kontaktdaten unwirksam.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *