Forscher des deutschen Sicherheitsanbieters SR Labs haben einen Fehler in iOS 7 entdeckt, der es einem Dieb ermöglicht, das Löschen des Geräts aus der Ferne zu verhindern. In einem Video zeigen sie, dass sich auch bei einem gesperrten Gerät ohne Eingabe eines Passworts über das neue Kontrollzentrum der Flugmodus aktivieren lässt.
Der Flugmodus schaltet jegliche Verbindung zum Internet wie WLAN und Mobilfunk ab. Somit verhindert er, dass das gestohlene Smartphone mithilfe der Funktion „Mein iPhone suchen“ geortet werden kann.
Die Schwachstelle gibt SR Labs zufolge Dieben auch genug Zeit, um einen gefälschten Fingerabdruck herzustellen und den biometrischen Scanner des iPhone 5S auszutricksen. Danach könne die Funktion zum Zurücksetzen von Passwörtern verwendet werden, um die iCloud- und iTunes-Konten sowie alle anderen mit dem gestohlenen Gerät verbundenen Konten des Opfers zu knacken.
„Die Fehler, die wir am Ende des Videos auflisten, umreißen die Schritte, die Apple in Betracht ziehen sollte, um die durch neue Funktionen in iOS und/oder den Fingerabdruckscanner des iPhone 5S eingeführten oder verstärkten Schwachstellen zu minimieren“, erklärte SR Labs in einem Interview mit ZDNet.com. Priorität habe ein Fehler in der Implementierung von „Mein iPhone suchen“, der es einem Dieb erlaube, mit einem gestohlenen iPhone auf das Internet und E-Mails zuzugreifen, obwohl der eigentliche Besitzer schon die Löschung des Geräts veranlasst habe. „Das ist der Fehler, der es dem Dieb in dem Video ermöglichte, die Apple-ID des Opfers zu übernehmen.“
Unter iOS 6 war der Flugmodus erst nach dem Entsperren des Geräts zugänglich. SR Labs fordert von Apple nun, den Zugriff auf den Flugmodus aus dem Kontrollzentrum zu entfernen und das Abschalten der Funkverbindungen mit einer PIN-Abfrage zu verknüpfen.
Darüber hinaus solle Apple seinen Kunden bei der Einrichtung einer Apple-ID empfehlen, keine E-Mail-Konten auf einem iOS-Gerät zu hinterlegen, die bei irgendwelchen Online-Diensten für die Wiederherstellung von Anmeldedaten hinterlegt seien, ergänzte SR Labs. Nach der Wiederherstellung der Internetverbindung solle iOS vor dem Abrufen von E-Mails zudem zuerst mit iCloud Kontakt aufnehmen, um herauszufinden, ob eine Löschung des Geräts aus der Ferne veranlasst wurde.
Wie sich die von Apple mit dem iPhone 5S eingeführte biometrische Sicherheitsfunktion Touch ID aushebeln lässt, hatte ein Mitglied des Chaos Computer Club schon am 21. September vorgeführt. Er folgerte daraus, „dass biometrische Daten zur Verhinderung eines unberechtigten Zugriffs vollkommen ungeeignet sind“.
[mit Material von Liam Tung, ZDNet.com]
Der Umsatz steigt um 15 Prozent, der Nettogewinn um 57 Prozent. Im nachbörslichen Handel kassiert…
Aus 61,9 Milliarden Dollar generiert das Unternehmen einen Nettoprofit von 21,9 Milliarden Dollar. Das größte…
Mehr Digitalisierung wird von den Unternehmen gefordert. Für KMU ist die Umsetzung jedoch nicht trivial,…
Der Nettoprofi wächst um 117 Prozent. Auch beim Umsatz erzielt die Facebook-Mutter ein deutliches Plus.…
Vom Standpunkt eines Verbrauchers aus betrachtet, stellt sich die Frage: Wie relevant und persönlich sind…
Scamio analysiert und bewertet die Gefahren und gibt Anwendern Ratschläge für den Umgang mit einer…
