Apple schließt Siri-Lücke

Innerhalb eines Tages nach Bekanntwerden der Schwachstelle hat Apple serverseitig einen Patch eingespielt. Damit lässt sich die Gerätesperre auf einem iPhone 6S oder 6S Plus nicht mehr mithilfe des Sprachassistenten und der 3D-Touch-Funktion umgehen, um auf Kontakte und Fotos zuzugreifen.

Apple hat die vor zwei Tagen öffentlich gemachte Lücke in seinem Sprachassistenten Siri geschlossen. Die vom Sicherheitsforscher Jose Rodriguez entdeckte Schwachstelle erlaubte es, die Gerätesperre auf einem iPhone 6S oder 6S Plus zu umgehen und so auf Kontakte und Fotos zuzugreifen. Sie ließ sich über die 3D-Touch-Funktion ausnutzen, aber nur, wenn Siri bei gesperrtem Gerät aktiviert war.

3D-Touch-Funktion von iOS 9 auf einem iPhone 6S (Bild: CNET/CBS Interactive)Noch gestern hat Apple das Problem durch eine zusätzliche Sicherheitsabfrage beseitigt. Nutzer müssen jetzt zunächst ihr iPhone entsperren, bevor sie Siri vom Sperrbildschirm aus für eine Suche auf Twitter verwenden können. Zuvor fragte der Assistent einfach, wonach er suchen soll, was letztlich das Ausspähen von Kontaktdaten und Fotos ermöglichte.

Apple hat den Patch serverseitig eingespielt. Dadurch müssen Besitzer eines iPhone 6S oder 6S Plus also kein Software-Update durchführen, um vor der Schwachstelle geschützt zu sein.

Rodriguez, der schon im September 2013 und im September 2015 auf ähnliche Sicherheitslecks in iOS 7 respektive iOS 9 hingewiesen hatte, demonstrierte seine Methode zum Umgehen der Gerätesperre mittels Siri in einem Machbarkeitsvideo. Demnach musste der Sprachassistent durch langes Drücken des Home-Button oder mittels Sprachbefehl zunächst aufgeweckt und zu einer Suche auf Twitter aufgefordert werden. Enthielten die Ergebnisse Kontaktdaten wie eine E-Mail-Adresse, ließ sich mittels 3D Touch ein Kontextmenü mit den Optionen aufrufen, eine E-Mail zu versenden oder Kontaktdaten hinzuzufügen beziehungsweise zu bearbeiten. Wurde in dem 3D-Touch-Schnellwahlmenü der Punkt „Zu bestehendem Kontakt hinzufügen“ gewählt, öffnete sich die iPhone-Kontaktliste, über die sich für die Bildauswahl auch auf dem Gerät gespeicherte Fotos anzeigen ließen.

ANZEIGE

Die Cloud forciert Innovationen

Ohne Cloud-Technologie sähe der Alltag heute ganz anders aus. Dropbox, Facebook, Google und Musikdienste gäbe es nicht. Erst Cloud-Technologien haben diese Services ermöglicht und treiben heute Innovationen schneller denn je voran.

Gegenüber AppleInsider erklärte Rodriguez, die Lücke könne auch bei Verwendung von Siri für eine Suche in der WhatsApp-Kontaktliste ausgenutzt werden. Seine Methode funktionierte bis zum inzwischen eingespielten Patch auch noch unter dem aktuellen iOS 9.3.1. Allerdings mussten dafür einige Voraussetzungen erfüllt sein. Vor allem musste der Gerätebesitzer Siri zuvor Zugang zum Twitter-Konto, der Fotobibliothek und verwandten Anwendungen eingeräumt haben – entweder durch eine Siri-Suche oder die manuelle Konfiguration der Dienstberechtigungen in den Einstellungen.

Außer der Siri-Lücke hat Apple laut 9to5Mac noch einen anderen, nicht sicherheitsrelevanten Bug behoben, durch den sich der Night-Shift-Modus im Stromsparmodus aktivieren ließ. Dies funktionierte ebenfalls unter Verwendung von Siri. Fordert der Anwender den Sprachassistenten nun dazu auf, Night Shift einzuschalten, solange sich das Gerät im Low-Power-Modus befindet, erhält er als Antwort: „Um Night Shift einzuschalten, muss ich zunächst den Stromsparmodus ausschalten. Soll ich fortfahren?“

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Neueste Kommentare 

2 Kommentare zu Apple schließt Siri-Lücke

Kommentar hinzufügen
  • Am 6. April 2016 um 11:03 von Smoki99

    Das bedeutet doch das Hacken eines iPhone wäre über die Siri Funktion generell noch besser machbar.

    IPhone in ein WLAN oder Funknetzwerk bringen und dort den DNS so manipulieren das er ein Fake Siri anspricht und so dann mehr oder weniger fernsteuern des Gerätes ermöglichen. ;-)

    Bin mal gespannt ob ein Security Experte mit zu viel Zeit? Das mal demonstrieren kann

    • Am 6. April 2016 um 15:33 von PeerH

      Tu es doch – Ideen gibt es viele, nur funktionieren sie nicht. ;-)

      Theoretisch kann man jedes iPhone durch das Captain-Future-Wahrscheinlichkeitskontinuum in Null-Komm-Nix knacken. Nur muss das erst entwickelt werden. ;-)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *