Categories: Sicherheit

iPhone 6S: Siri-Lücke erlaubt unberechtigten Zugriff auf Kontakte und Fotos

Eine Lücke in Apples Sprachassistent Siri ermöglicht es, die Gerätesperre auf einem iPhone 6S oder 6S Plus zu umgehen und so auf Kontakte und Fotos zuzugreifen. Sie lässt sich über die 3D-Touch-Funktion ausnutzen, aber nur, wenn Siri bei gesperrtem Gerät aktiviert ist. Entdecker der Schwachstelle ist der Sicherheitsforscher Jose Rodriguez, der schon im September 2013 und im September 2015 auf ähnliche Sicherheitslecks in iOS 7 respektive iOS 9 hingewiesen hat.

In einem knapp einminütigen Video demonstriert Rodriguez, wie sich die Gerätesperre mittels Siri umgehen lässt. AppleInsider konnte die Methode nach eigenen Angaben auf einem iPhone 6S und 6S Plus nachvollziehen.

Laut dem Machbarkeitsvideo muss zunächst Siri durch langes Drücken des Home-Button oder mittels Sprachbefehl aufgeweckt und zu einer Suche auf Twitter aufgefordert werden. Enthalten die Ergebnisse Kontaktdaten wie eine E-Mail-Adresse, lässt sich mittels 3D Touch ein Kontextmenü mit den Optionen aufrufen, eine E-Mail zu versenden oder Kontaktdaten hinzuzufügen beziehungsweise zu bearbeiten. Wird in dem 3D-Touch-Schnellwahlmenü der Punkt „Zu bestehendem Kontakt hinzufügen“ gewählt, öffnet sich die iPhone-Kontaktliste, über die sich für die Bildauswahl auch auf dem Gerät gespeicherte Fotos öffnen lassen.

Gegenüber AppleInsider erklärte Rodriguez, die Lücke könne auch bei Verwendung von Siri für eine Suche in der WhatsApp-Kontaktliste ausgenutzt werden. Die Methode funktioniere auch noch unter dem aktuellen iOS 9.3.1. Allerdings müssen dafür einige Voraussetzungen erfüllt sein. Vor allem muss der Gerätebesitzer Siri zuvor Zugang zum Twitter-Konto, der Fotobibliothek und verwandten Anwendungen eingeräumt haben – entweder durch eine Siri-Suche oder die manuelle Konfiguration der Dienstberechtigungen in den Einstellungen.

Whitepaper

Studie zu Filesharing im Unternehmen: Kollaboration im sicheren und skalierbaren Umfeld

Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!

Fordert der Anwender Siri erstmals zu einer Twitter-Suche auf, verlangt der Assistent die Berechtigung, auf das hinterlegte Twitter-Konto zugreifen zu dürfen. In diesem Fall stellt er mittels Passwort- oder Touch-ID-Verifizierung fest, dass es sich um den rechtmäßigen Nutzer handelt.

Wer auf Nummer sicher gehen will, kann Siris Twitter-Integration im Einstellungsmenü unter dem Punkt „Twitter“ abschalten. Unter Einstellungen > Datenschutz > Fotos lässt sich auf dieselbe Weise auch der Zugriff des Assistenten auf die Fotobibliothek des iPhone sperren. Eine weitere Möglichkeit ist natürlich, Siri komplett zu deaktivieren.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

2 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

3 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

3 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago