iOS 9 gibt trotz Gerätesperre Fotos und Kontakte preis [UPDATE]

Ein Fehler in iOS 9 ermöglicht es, trotz aktiver Gerätesperre alle auf einem iPhone gespeicherten Fotos und Kontakte auszuspähen. Die Lücke entdeckt hat ein Youtube-Nutzer namens „videosdebarraquito„, der einen ähnlichen Bug schon in iOS 6.1 öffentlich gemacht hatte. Wie iDownloadBlog berichtet, lässt sich die in dem Video gezeigte Sicherheitslücke leicht reproduzieren.

Um die Gerätesperre ohne Eingabe eines Passworts auszuhebeln, muss viermal ein falscher PIN-Code eingegeben werden. Beim fünften Mal – danach sperrt iOS die Eingabe vorübergehend – werden nur drei falsche Zeichen eingetippt und danach der Home-Button länger gedrückt, um Siri zu starten, gefolgt von der sofortigen Eingabe des vierten Zeichens.

Im Anschluss wird das iPhone für eine Minute gesperrt, was laut iDownloadBlog aber Siri nicht betrifft. Der Assistent kann dann benutzt werden, um per Sprachbefehl die Uhr zu starten und eine weitere Zeitzone hinzuzufügen. In das Eingabefeld wird dann ein beliebiger Text eingetippt, der über das Menü Kopieren und Einfügen ausgewählt und dann über die Nachrichten-App geteilt wird.

Da an der Stelle jedoch keine Nachricht verschickt werden soll, gibt man in das Feld des Empfängers wieder eine beliebige Zeichenfolge ein. Nach einem Doppelklick auf den „falschen Namen“, der sich nicht im Adressbuch des iPhones befindet, wird dieser als neuer Kontakt angelegt. Durch die Auswahl eines Bilds für den Kontakt erhält man schließlich Zugriff auf alle auf dem iPhone gespeicherten Fotos – ohne, dass das Passwort eingegeben wurde.

iDownloadBlog zufolge kann statt einen neuen Kontakt anzulegen auch ein vorhandener Kontakt ausgewählt werden, wodurch sich das Adressbuch öffnet und alle gespeicherten Kontakte preisgibt. Der Blog EverythingApplePro hat zudem herausgefunden, dass der Fehler auch mit iPads und iPods Touch funktioniert – allerdings nur, wenn der Besitzer des Geräts bei iMessage angemeldet ist.

Auch wenn das von videosdebarraquito beschriebene Verfahren recht aufwendig ist und einen direkten Zugriff auf ein iOS-Gerät erfordert, zeigt es doch, dass ein PIN-Code oder ein Passwort unter Umständen nicht ausreichend sind, um seine Daten vor Unbefugten zu schützen. Zumal die Sperrbildschirme von iOS und von Android schon mehrfach geknackt wurden. Auch biometrische Systeme wie Apples Touch-ID ließen sich in der Vergangenheit umgehen. Ob Apple seine Technik für das iPhone 6S verbessert hat, ist indes nicht bekannt.

[UPDATE 25.9. 13.55 Uhr]
Auch in iOS 9.0.1 ist der Fehler enthalten, sodass es weiter möglich ist, die Codesperre wie beschrieben zu umgehen. Allerdings lässt sich das Problem dadurch beheben, indem man Siri im Sperrzustand keinen Zugriff erlaubt. Die entsprechende Option findet sich unter Einstellungen – Code.

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.