Der Sicherheitsforscher Benjamin Kunz Mejri stellt eine neuartige Methode vor, um die PIN-Sperre von iPhones und iPads abzuschalten. Angreifer müssen Zugang zum entsperrten Gerät haben und eine Aktionssequenz nach einem exakten Zeitplan durchführen. Anschließend ist keine Eingabe einer PIN mehr nötig, um beispielsweise eine Finanztransaktion durchzuführen oder Software zu installieren.
In dem Advisory auf vulnerability-lab.com schreibt Kunz Mejri, ein „lokaler Angreifer kann das iOS-Gerät durch den Trick in einen Modus bringen, in dem ein Laufzeitproblem mit einer Endlosschleife auftritt. Dies resultiert in einer zeitweisen Deaktivierung des Passwort-Sperrbildschirms.“
Laut Advisory wurde Apple Ende Oktober über die Schwachstelle verständigt. Es antwortete im Januar, hat das Problem aber bisher nicht behoben. Entsprechend den Regeln für verantwortungsvolle Offenlegungen hat der Sicherheitsforscher das Problem nun dennoch öffentlich gemacht – nachdem mehr als drei Monate Frist verstrichen sind.
Der Forscher sieht die Gefahr der Lücke als „hoch“ an und hat sie mit einem Schweregrad nach CVSS von 6.0 bewertet.
Täglich unterschreiben wir Empfangsbestätigungen von Paketen, Mietwagenverträge oder Kreditkartenzahlungen mit elektronischen Unterschriften. Im Geschäftsalltag fühlen sich jedoch insbesondere kleine und mittelständische Unternehmen häufig noch abgeschreckt, elektronische Signaturen einzusetzen. Sofern sie richtig in die passenden Geschäftsprozesse integriert werden, bieten sie aber einen großen Mehrwert und sind verbindlicher als eine Bestätigung per E-Mail.
Möglichkeiten, den Sperrbildschirm von Smartphone-Betriebssystemen zu umgehen, tauchen immer wieder auf – unter iOS ebenso wie unter Android. So schloss Apple mit iOS 9.0.2 im vergangenen Oktober eine Zero-Day-Lücke im Sperrbildschirm, die trotz aktiver Gerätesperre alle auf einem iPhone gespeicherten Fotos und Kontakte preisgab. Einen Monat zuvor umgingen Sicherheitsforscher den Sperrbildschirm von Android 5.x Lollipop.
[mit Material von Zack Whittaker, ZDNet.com]
Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.
Bisher unbekannter Bedrohungsakteur versucht über gefälschte IP Scanner Software-Domänen Zugriff auf IT-Umgebungen zu erlangen.
Der Bericht zeigt bereits nutzbare Angriffsanwendungen und bewertet die Risiken, die davon ausgehen.
Deutsche sehen Finanzwesen und IT im Zentrum der KI-Transformation. Justiz und Militär hingegen werden deutlich…
Cubbit ist das weltweit erste Unternehmen, das Cloud-Objektspeicher anbietet. Es wurde 2016 gegründet und bedient…
Unbefugte können Schadcode einschleusen und ausführen. Auslöser ist eine fehlerhafte Implementierung einer Android-Funktion.
iPhones und iPads belasten das Ergebnis. Außerdem schwächelt Apple im gesamten asiatischen Raum inklusive China…