Ein ägyptischer Hacker hat eine Zero-Day-Lücke in iOS 7.1.1 entdeckt. In einem Youtube-Video zeigt Sherif Hashim, wie sich bei aktivierter Passwortsperre auch ohne Eingabe eines Kennworts Kontakte anzeigen lassen.
Das Verfahren funktioniert allerdings nur, wenn der digitale Assistent Siri auch auf dem Sperrbildschirm zur Verfügung steht. Wird ein gesperrtes iPhone per Spracheingabe aufgefordert, die Kontakte-App zu öffnen, wird dies mit Hinweis auf die aktive Gerätesperre zuerst verweigert. Danach versucht Hashim in seinem Video einen Anruf zu starten. Statt die Rückfrage von Siri nach dem Namen einer Person zu beantworten, gibt er lediglich einen Buchstaben in das Bearbeitungsfeld ein. Daraufhin erscheint eine Übersicht mit Namen aus dem Adressbuch, die diesen Buchstaben erhalten. Ein Klick auf „Weitere“ öffnet schließlich die Kontakte-App.
Anschließend ist es möglich, beliebige Kontakte aus dem Adressbuch anzurufen. „Meiner Ansicht nach bedeutet ein sicherer Passwortschutz in iOS 7.1.1 nicht, dass jeder auf meine Kontakte zugreifen und jeden anrufen kann, während meine Gerät gesperrt ist“, heißt es in der Einleitung des Videos. „Apple hat offenbar andere Vorstellungen.“
ZDNet USA konnte den Fehler Tests nachvollziehen. Mutmaßlich funktioniert er auf allen iPhones, die Siri unterstützen. Unbefugte mit direktem Zugriff auf ein Apple-Smartphone können dann nicht nur Telefonnummern auslesen, sondern alle im Adressbuch hinterlegten Informationen.
Betroffene Nutzer sollten den Zugriff auf Siri vom Sperrbildschirm aus deaktivieren. Dafür muss in den Einstellungen unter dem Punkt Code bei „Im Sperrzustand Zugriff erlauben“ der Schieber für Siri auf „Aus“ gestellt werden.
Einen ähnlichen Fehler hatte Apple im September 2013 mit iOS 7.0.2 behoben. Damals konnte die Bildschirmsperre durch eine bestimmte Abfolge von Zeichen ausgetrickst werden.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…