Der Sicherheitsforscher Benjamin Kunz Mejri stellt eine neuartige Methode vor, um die PIN-Sperre von iPhones und iPads abzuschalten. Angreifer müssen Zugang zum entsperrten Gerät haben und eine Aktionssequenz nach einem exakten Zeitplan durchführen. Anschließend ist keine Eingabe einer PIN mehr nötig, um beispielsweise eine Finanztransaktion durchzuführen oder Software zu installieren.
In dem Advisory auf vulnerability-lab.com schreibt Kunz Mejri, ein „lokaler Angreifer kann das iOS-Gerät durch den Trick in einen Modus bringen, in dem ein Laufzeitproblem mit einer Endlosschleife auftritt. Dies resultiert in einer zeitweisen Deaktivierung des Passwort-Sperrbildschirms.“
Laut Advisory wurde Apple Ende Oktober über die Schwachstelle verständigt. Es antwortete im Januar, hat das Problem aber bisher nicht behoben. Entsprechend den Regeln für verantwortungsvolle Offenlegungen hat der Sicherheitsforscher das Problem nun dennoch öffentlich gemacht – nachdem mehr als drei Monate Frist verstrichen sind.
Der Forscher sieht die Gefahr der Lücke als „hoch“ an und hat sie mit einem Schweregrad nach CVSS von 6.0 bewertet.
Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.
Möglichkeiten, den Sperrbildschirm von Smartphone-Betriebssystemen zu umgehen, tauchen immer wieder auf – unter iOS ebenso wie unter Android. So schloss Apple mit iOS 9.0.2 im vergangenen Oktober eine Zero-Day-Lücke im Sperrbildschirm, die trotz aktiver Gerätesperre alle auf einem iPhone gespeicherten Fotos und Kontakte preisgab. Einen Monat zuvor umgingen Sicherheitsforscher den Sperrbildschirm von Android 5.x Lollipop.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…
Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…
Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.
Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…
Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…
Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…
