Ein ägyptischer Hacker hat eine Zero-Day-Lücke in iOS 7.1.1 entdeckt. In einem Youtube-Video zeigt Sherif Hashim, wie sich bei aktivierter Passwortsperre auch ohne Eingabe eines Kennworts Kontakte anzeigen lassen.
Das Verfahren funktioniert allerdings nur, wenn der digitale Assistent Siri auch auf dem Sperrbildschirm zur Verfügung steht. Wird ein gesperrtes iPhone per Spracheingabe aufgefordert, die Kontakte-App zu öffnen, wird dies mit Hinweis auf die aktive Gerätesperre zuerst verweigert. Danach versucht Hashim in seinem Video einen Anruf zu starten. Statt die Rückfrage von Siri nach dem Namen einer Person zu beantworten, gibt er lediglich einen Buchstaben in das Bearbeitungsfeld ein. Daraufhin erscheint eine Übersicht mit Namen aus dem Adressbuch, die diesen Buchstaben erhalten. Ein Klick auf „Weitere“ öffnet schließlich die Kontakte-App.
Anschließend ist es möglich, beliebige Kontakte aus dem Adressbuch anzurufen. „Meiner Ansicht nach bedeutet ein sicherer Passwortschutz in iOS 7.1.1 nicht, dass jeder auf meine Kontakte zugreifen und jeden anrufen kann, während meine Gerät gesperrt ist“, heißt es in der Einleitung des Videos. „Apple hat offenbar andere Vorstellungen.“
ZDNet USA konnte den Fehler Tests nachvollziehen. Mutmaßlich funktioniert er auf allen iPhones, die Siri unterstützen. Unbefugte mit direktem Zugriff auf ein Apple-Smartphone können dann nicht nur Telefonnummern auslesen, sondern alle im Adressbuch hinterlegten Informationen.
Betroffene Nutzer sollten den Zugriff auf Siri vom Sperrbildschirm aus deaktivieren. Dafür muss in den Einstellungen unter dem Punkt Code bei „Im Sperrzustand Zugriff erlauben“ der Schieber für Siri auf „Aus“ gestellt werden.
Einen ähnlichen Fehler hatte Apple im September 2013 mit iOS 7.0.2 behoben. Damals konnte die Bildschirmsperre durch eine bestimmte Abfolge von Zeichen ausgetrickst werden.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
