Sicherheitslücke in iOS 7: Zugriff auf Adressbuch trotz Code-Sperre

Ben Miller 5

Eine Sicherheitslücke in iOS 7 ermöglicht über Siri den Zugriff auf das Adressbuch des gesperrten iPhones, ohne den Sperrcode eingeben zu müssen.

Sicherheitslücke in iOS 7: Zugriff auf Adressbuch trotz Code-Sperre

Die Code-Sperre soll private Daten wie beispielsweise Adressbucheinträge vor ungewolltem Zugriff schützen. Standardmäßig lassen sich aber auch einige Funktionen des sprachgesteuerten Assistenten Siri nutzen, ohne das Gerät zu entsperren.

Sherif Hashim, seines Zeichens Neurochirurg, Jailbreak-Entwickler und Mitglied des iPhone Dev Teams, demonstriert im folgenden Video eine Sicherheitslücke: Wer ein fremdes iOS-Gerät in die Hände bekommt, kann auf alle Adressbuchdaten zugreifen – ohne den Entsperren-Code eingeben zu müssen.

Siri lässt sich standardmäßig – mit Einschränkungen –auch vom Sperrbildschirm aus verwendet. Das ist an sich ein Feature, das deaktiviert werden kann, und kein Bug. Dieser Komfort geht aber leider auf Kosten der Sicherheit.

Problematisch wird es, wenn Siri einen Sprachbefehl nicht versteht oder es mehrere Antwortmöglichkeiten gibt. Der Assistent bietet in diesem Fall dem Nutzer die Möglichkeit, die Antwort manuell auszuwählen.

Hat man beispielsweise mehrere Kontakte im Adressbuch, die gleich oder ähnlich heißen, wird ein Link angezeigt, über den man manuell im Adressbuch nachschlagen und dort die jeweilige Person auswählen kann. Dadurch hat man aber trotz Code-Sperre Zugriff auf alle Kontakte im Adressbuch. Das eigentliche Problem ist also dieser Link „Andere“.

Damit nicht irgend jemand mit eurem gesperrten iPhone telefonieren, SMS verschicken oder E-Mails versenden kann, sollte man Siri für den Sperrbildschirm zur Zeit deaktivieren. Hierfür öffnet man die Einstellungen > Allgemein > Touch ID & Kennwort (bei einem iPhone 5s beispielsweise) und deaktiviert den Zugriff auf Siri im Sperrzustand.

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* Werbung