Siri erlaubt schon wieder unbefugte iPhone-Zugriffe

Erneut ermöglicht eine Schwachstelle im iPhone-Sperrbildschirm unbefugte Zugriffe auf persönliche Daten. Hilfreich zur Seite steht dabei Apples Sprachassistent Siri, indem er für die Ausspähung erforderliche Informationen preisgibt. Wer Zugang zu einem Gerät hat und die erforderlichen Schritte kennt, kann Kommunikation, Kontakte und private Fotos eines Nutzers ausspähen. Darüber hinaus soll es sogar möglich sein, den Sperrbildschirm zum Absturz zu bringen und zum Homescreen zu gelangen.

(Screenshot: ZDNet.de)

Entdeckt und enthüllt wurde die Lücke vom Youtube-Videoblogger iDeviceHelp. Er betont ausdrücklich, kein Hacker zu sein. Bescheiden merkt er an, jeder andere hätte durch einfaches Ausprobieren auf die Schwachstelle stoßen können. Das Austricksen des Lockscreens soll mit iOS 8, iOS 9 und auch dem aktuellen iOS 10 möglich sein.

Der Angreifer benötigt zunächst die Telefonnummer des Geräts. Diese könnte er ohnehin schon kennen, wenn es das iPhone eines Bekannten ist. Wenn nicht, muss nur Siri durch Drücken des Homebuttons aktiviert werden. Auf die Frage „Wer bin ich?“ hin gibt der freundliche Sprachassistent die Telefonnummer preis, unter der das Smartphone zu erreichen ist.

Das ermöglicht es, von einem anderen Telefon aus das auszuspähende iPhone anzurufen. Auf dem Zielgerät ist dann der Anruf abzuweisen, um stattdessen mit einer Nachricht zu antworten. Sodann erweist sich erneut Siri als hilfreich, das auf knappe Anweisung hin die Bedienhilfe VoiceOver aktiviert. Mit ein paar einfachen weiteren Eingaben kommen Neugierige nun in die Kontakte und in das Fotoalbum. Über die Kontakte sollen außerdem früher ausgetauschte Nachrichten des iPhone-Nutzers einzusehen sein.

Ein ausführliches Demo-Video zeigt anschaulich, wie die erforderlichen Schritte erfolgreich bei verschiedenen iPhone-Generationen ablaufen. Die Schwachstelle ist mit einem Anruf über Facetime ebenso bei iPads auszunutzen. Darüber hinaus soll es sogar möglich sein, den Sperrbildschirm von iOS-Geräten zum Absturz zu bringen und damit Zugang zum Homescreen zu erhalten. iDeviceHelp will die dafür erforderlichen Schritte jedoch erst enthüllen, wenn Apple die Schwachstelle durch einen Patch behoben hat.

Es handelt sich inzwischen um eine von vielen Schwachstellen, die bereits eine Umgehung des iPhone-Sperrbildschirms erlaubten. Apples Sprachassistent erwies sich dabei wiederholt als hilfreich und stand neugierigen Angreifern bei, die unbefugt auf Kontakte und Fotos zugreifen wollten. Im April dieses Jahres musste Apple serverseitig einen Patch einspielen, nachdem eine ähnliche Schwachstelle bekannt wurde. Die Gerätesperre auf einem iPhone 6S oder 6S Plus hatte sich in diesem Fall mithilfe des Sprachassistenten und der 3D-Touch-Funktion umgehen lassen.

Wie schon früher ist mit einer raschen Behebung der Schwachstelle durch Apple zu rechnen. Nach Einschätzung des Sicherheitsexperten Graham Cluley müssen Nutzer aber davon ausgehen, dass sich bei Apple schon bald wieder eine ganz ähnliche Lücke öffnet. Er empfiehlt daher, in die Einstellungen zu gehen und Siri auf dem Sperrbildschirm zu deaktivieren. Das sei vielleicht etwas weniger komfortabel. Aber es könnte sich als weit lästiger erweisen, wenn andere die eigene Kommunikation und private Fotos ausspionieren – oder gar vollen Zugriff auf das Gerät erhalten.

Tipp: Wie gut kennen Sie das iPhone? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.