Der Sicherheitsforscher Benjamin Kunz Mejri stellt eine neuartige Methode vor, um die PIN-Sperre von iPhones und iPads abzuschalten. Angreifer müssen Zugang zum entsperrten Gerät haben und eine Aktionssequenz nach einem exakten Zeitplan durchführen. Anschließend ist keine Eingabe einer PIN mehr nötig, um beispielsweise eine Finanztransaktion durchzuführen oder Software zu installieren.
In dem Advisory auf vulnerability-lab.com schreibt Kunz Mejri, ein „lokaler Angreifer kann das iOS-Gerät durch den Trick in einen Modus bringen, in dem ein Laufzeitproblem mit einer Endlosschleife auftritt. Dies resultiert in einer zeitweisen Deaktivierung des Passwort-Sperrbildschirms.“
Laut Advisory wurde Apple Ende Oktober über die Schwachstelle verständigt. Es antwortete im Januar, hat das Problem aber bisher nicht behoben. Entsprechend den Regeln für verantwortungsvolle Offenlegungen hat der Sicherheitsforscher das Problem nun dennoch öffentlich gemacht – nachdem mehr als drei Monate Frist verstrichen sind.
Der Forscher sieht die Gefahr der Lücke als „hoch“ an und hat sie mit einem Schweregrad nach CVSS von 6.0 bewertet.
Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.
Möglichkeiten, den Sperrbildschirm von Smartphone-Betriebssystemen zu umgehen, tauchen immer wieder auf – unter iOS ebenso wie unter Android. So schloss Apple mit iOS 9.0.2 im vergangenen Oktober eine Zero-Day-Lücke im Sperrbildschirm, die trotz aktiver Gerätesperre alle auf einem iPhone gespeicherten Fotos und Kontakte preisgab. Einen Monat zuvor umgingen Sicherheitsforscher den Sperrbildschirm von Android 5.x Lollipop.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…