Wieder einmal sorgt eine Sicherheitslücke im Sperrbildschirm von iOS in Kombination mit dem Sprachassistenten Siri für einen unkontrollierten Zugriff auf Kontakte und Fotos von iPhone, iPad oder iPod touch.

 

iOS 9

Facts 

Jose Rodriguez, der bereits vor einigen Jahren ein Sicherheitslücke im Sperrbildschirm von iOS 6.1.3 entdeckte, hat in einem Video die neue Lücke in iOS 9 festgehalten (via Apple Insider):

Wie in dem Video zu erkennen ist, kann trotz gesperrtem Bildschirm nach der wiederholten, fehlerhaften Eingabe der Zahlenkombination und der darauf folgenden Aktivierung von Siri auf Kontakte und Fotos des betroffenen Gerätes zugegriffen werden.

Nachdem die Zahlenkombination 4-mal falsch eingegeben wurde, tippt man beim fünften Versuch eine beliebige Zahlenkombination bis zur vorletzten Ziffer erneut ein. Danach hält man den Home-Button gedrückt, um Siri zu aktivieren, während man gleichzeitig die letzte verbleibende Ziffer eingibt.

Danach kann man Siri nach der Uhrzeit fragen, woraufhin sich die Uhr öffnet. Nun legt der Angreifer einen neuen Ort an. Hier gibt man einen beliebigen Text ins Orts-Feld ein, markiert diesen Text und startet das Teilen des gewählten Textblocks, den man mittels iMessage versenden will.

Im folgenden iMessage-Dialog gibt man nun ebenfalls einen beliebigen Namen an. An dieser Stelle hat man bereits Zugriff auf das Adressbuch. Ein Doppel-Tap auf den zuvor angegeben beliebigen Namen ermöglicht an dieser Stelle das Anlegen eines neuen Kontakts. Will man diesem nun ein Foto hinzufügen, kann ein beliebiges Bild aus dem gesamten Foto-Album gewählt werden.

Das gestern veröffentlichte iOS 9.0.1 und iOS 9.1 Beta 2 beheben das Problem nicht. Abhilfe schafft das Deaktivieren von Siri im Sperrbildschirm.