zurück zum Artikel

Trotz aktivierter Code-Sperre können Dritte die Telefon-App auf einem iPhone mit iOS 4.1 starten und darüber zugleich Einblick in das Adressbuch erhalten. Dafür ist lediglich ein kleiner Umweg über die Notruf-Funktion vonnöten.

Selbst wenn ein iPhone durch die aktivierte Code-Sperre vor dem Zugriff Dritter geschützt scheint, kann ohne Kenntnis des vierziffrigen oder alphanumerischen Codes die Telefon-App gestartet werden. Damit ist es möglich, die Liste der empfangenen sowie getätigten Anrufe einzusehen, beliebige Telefonnummern anzuwählen, gespeicherte Voicemail-Nachrichten abzuhören, auf die Bildergalerie und auf das gesamte Adressbuch zuzugreifen. Aus dem Adressbuch lassen sich zudem E-Mail-, MMS- sowie SMS-Nachrichten versenden.

Eine Schwachstelle in der Code-Sperre gestaltet diesen Zugriff einfach: Aus der Code-Abfrage muss lediglich auf die Möglichkeit zurückgegriffen werden, einen Notruf zu wählen – wird im dortigen Ziffernblock eine beliebige Eingabe getätigt und anschließend in schneller Folge die grüne Anruf-Taste gefolgt von der Standby-Taste gedrückt, dann startet die Telefon-App und bietet den bereits geschilderten Zugang zu den vermeintlich geschützten Daten.

Die Lücke, auf die ein Forumsmitglied bei MacRumors stieß [1], betrifft das iPhone mit iOS 4.1 sowie offenbar auch iOS 4.0.x. Ersten Berichten nach ist die Schwachstelle in den Betaversionen der nächsten iOS-Version bereits behoben – iOS 4.2 soll nach Apples Angabe im November erscheinen. Ein Workaround ist bislang nicht bekannt. Eine frühere Sicherheitslücke [2] in der Code-Sperre von iPhone OS 2.0.x stopfte Apple zwei Wochen nach ihrem Bekanntwerden. (lbe [3])

URL dieses Artikels:
https://www.heise.de/-1125183

Links in diesem Artikel:
[1] http://forums.macrumors.com/showpost.php?p=11283481&postcount=1
[2] https://www.heise.de/news/Luecke-in-Code-Sperre-des-iPhones-200351.html
[3] mailto:lbe@heise.de

Copyright © 2010 Heise Medien