iOS 7: Lockscreen-Schwachstelle ermöglicht App-Zugriff
Unbefugte können trotz aktiver Code-Sperre relativ einfach die zuletzt benutzte App auf einem iPhone einsehen. Gegen die Schwachstelle hilft eine simple Einstellungsänderung.
Durch eine Schwachstelle in iOS 7 ist es erneut möglich, die Code-Sperre des Sperrbildschirms zu umgehen. Ein Angreifer kann relativ leicht auf die zuletzt benutzte App zugreifen ohne den Passcode zu kennen, wie EverythingApplePro zeigt.
Das Ausnutzen der Lücke erfordert jedoch mehrere Voraussetzungen: Das iPhone muss mit geöffneter App gesperrt worden sein, der Nutzer darf den Zugriff auf Kontrollzentrum und Mitteilungszentrale im Lockscreen nicht unterbunden haben – und es muss ein verpasster Anruf vorliegen. Der Angreifer muss also die Rufnummer des Opfers kennen oder unter Umständen erheblich Geduld mitbringen.
Beim Antippen der Anrufbenachrichtigung gibt das iPhone nämlich den Zugriff auf die zuletzt benutzte App frei, wenn zuvor im Kontrollzentrum der Flugmodus aktiviert wurde. Dabei lässt sich nur diese einzelne App einsehen und bedienen, beim Druck auf den Home-Button erscheint wieder die Abfrage des Passcodes.
Die Schwachstelle betrifft angeblich iOS 7.0 bis hin zu iOS 7.1.1.
Nutzer können sich leicht vor dieser Methode schützen: Sie müssen lediglich den Zugriff auf das Kontrollzentrum im Sperrbildschirm abschalten – dies ist in den iOS-Einstellungen möglich. Alternativ würde in diesem Fall auch helfen, die Mitteilungszentrale aus dem Lockscreen zu verbannen.
Die Menge an zwingend nötigen Voraussetzungen lässt die Schwachstelle nicht sonderlich gravierend erscheinen. Sie reiht sich aber in eine lange Liste an iOS-Lücken, die eine lokale Umgehung der Code-Sperre ermöglichen. In iOS 7.1.1 besteht eine weitere – nach wie vor unbehobene – Schwachstelle, die einen Fremdzugriff auf die Adressliste erlaubt. (lbe)