Categories: Sicherheit

Apple schließt Siri-Lücke

Apple hat die vor zwei Tagen öffentlich gemachte Lücke in seinem Sprachassistenten Siri geschlossen. Die vom Sicherheitsforscher Jose Rodriguez entdeckte Schwachstelle erlaubte es, die Gerätesperre auf einem iPhone 6S oder 6S Plus zu umgehen und so auf Kontakte und Fotos zuzugreifen. Sie ließ sich über die 3D-Touch-Funktion ausnutzen, aber nur, wenn Siri bei gesperrtem Gerät aktiviert war.

Noch gestern hat Apple das Problem durch eine zusätzliche Sicherheitsabfrage beseitigt. Nutzer müssen jetzt zunächst ihr iPhone entsperren, bevor sie Siri vom Sperrbildschirm aus für eine Suche auf Twitter verwenden können. Zuvor fragte der Assistent einfach, wonach er suchen soll, was letztlich das Ausspähen von Kontaktdaten und Fotos ermöglichte.

Apple hat den Patch serverseitig eingespielt. Dadurch müssen Besitzer eines iPhone 6S oder 6S Plus also kein Software-Update durchführen, um vor der Schwachstelle geschützt zu sein.

Rodriguez, der schon im September 2013 und im September 2015 auf ähnliche Sicherheitslecks in iOS 7 respektive iOS 9 hingewiesen hatte, demonstrierte seine Methode zum Umgehen der Gerätesperre mittels Siri in einem Machbarkeitsvideo. Demnach musste der Sprachassistent durch langes Drücken des Home-Button oder mittels Sprachbefehl zunächst aufgeweckt und zu einer Suche auf Twitter aufgefordert werden. Enthielten die Ergebnisse Kontaktdaten wie eine E-Mail-Adresse, ließ sich mittels 3D Touch ein Kontextmenü mit den Optionen aufrufen, eine E-Mail zu versenden oder Kontaktdaten hinzuzufügen beziehungsweise zu bearbeiten. Wurde in dem 3D-Touch-Schnellwahlmenü der Punkt „Zu bestehendem Kontakt hinzufügen“ gewählt, öffnete sich die iPhone-Kontaktliste, über die sich für die Bildauswahl auch auf dem Gerät gespeicherte Fotos anzeigen ließen.

ANZEIGE

Die Cloud forciert Innovationen

Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.

Gegenüber AppleInsider erklärte Rodriguez, die Lücke könne auch bei Verwendung von Siri für eine Suche in der WhatsApp-Kontaktliste ausgenutzt werden. Seine Methode funktionierte bis zum inzwischen eingespielten Patch auch noch unter dem aktuellen iOS 9.3.1. Allerdings mussten dafür einige Voraussetzungen erfüllt sein. Vor allem musste der Gerätebesitzer Siri zuvor Zugang zum Twitter-Konto, der Fotobibliothek und verwandten Anwendungen eingeräumt haben – entweder durch eine Siri-Suche oder die manuelle Konfiguration der Dienstberechtigungen in den Einstellungen.

Außer der Siri-Lücke hat Apple laut 9to5Mac noch einen anderen, nicht sicherheitsrelevanten Bug behoben, durch den sich der Night-Shift-Modus im Stromsparmodus aktivieren ließ. Dies funktionierte ebenfalls unter Verwendung von Siri. Fordert der Anwender den Sprachassistenten nun dazu auf, Night Shift einzuschalten, solange sich das Gerät im Low-Power-Modus befindet, erhält er als Antwort: „Um Night Shift einzuschalten, muss ich zunächst den Stromsparmodus ausschalten. Soll ich fortfahren?“

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

3 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago