Jose Rodriguez, der auch unter dem Youtube-Nutzernamen Videosdebarraqito bekannt ist, hat einen weiteren Bug in iOS 12 gefunden, der es erlaubt, die Passwortsperre von iPhones und iPads zu umgehen und ohne Eingabe eines Kennworts vertrauliche Informationen einzusehen. Betroffen sind diesmal alle Geräte mit iOS 12 und auch iOS 12.0.1, wie der Sicherheitsforscher berichtet und AppleInsider mit eigenen Tests bestätigt.
In einem Video zeigt Rodriguez, dass ein Fehler in der Sprachausgabe, die ebenfalls über Siri aktiviert wird, beim Verfassen einer Antwort auf die SMS per Touch-Gesten den Zugriff auf eigentlich verborgene Bedienelemente erlaubt. Dadurch wiederum ist es möglich, beliebige Fotos aus der Galerie auszuwählen. Die Fotos sind während der Auswahl zwar nicht sichtbar, die Sprachausgabe versucht allerdings, den Inhalt zu beschreiben. Da sich mehrere Bilder zu einer Nachricht hinzufügen lassen, kann der Angreifer also auch nahezu beliebig viele Fotos anzeigen lassen.
Durch die Deaktivierung der Sprachausgabe ist es anschließend möglich, mit Wischgesten durch die ausgewählten Fotos zu blättern und auch einzelne Bilder wieder aus der Auswahl zu entfernen. Danach kann sich der Angreifer die Bilder an seine eigene Handynummer schicken.
AppleInsider weist jedoch auf eine Einschränkung hin. Zu Beginn des Angriffs müssen bestimmte Bedienelemente in einer genauen Abfolge betätigt werden: zuerst muss das Kamera-Symbol in der Nachrichten-App angetippt werden, dann muss Siri mit dem seitlichen Button gestartet und ein Doppelklick auf dem Bildschirm ausgeführt werden. Diese Abfolge kann aber beliebig wiederholt werden – bis der Fehler ausgelöst und der Bildschirm schwarz wird, um von dort die Foto-Bibliothek durch Wischen nach links aufzurufen.
Erst vor kurzem hatte Rodriguez zwei Bugs in iOS 12 an Apple gemeldet, die ebenfalls Siri und die Voice-Over-Funktion betrafen und die Bildschirmsperre unwirksam machten. Apple stopft beide Löcher mit dem Update auf iOS 12.0.1. Auch in früheren Versionen von Apples Mobilbetriebssystem war der Forscher bereits fündig geworden.
Nutzer können sich jedoch leicht vor derartigen Bugs schützen. In den Einstellungen des Sprachassistenten Siri lässt sich die Option „Siri im Sperrzustand erlauben“ deaktivieren. Allerdings muss dann für den Zugriff auf Siri das Gerät stets zuerst entsperrt werden.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…