Schwachstelle in iOS 7.1.1 erlaubt Fremdzugriff auf Adressliste
Trotz Codesperre kann Siri bekanntlich Anrufe durchführen und Kontaktinformationen liefern – doch auch der Zugriff auf die komplette Adressliste ist mit einem kleinen Trick möglich.
- Leo Becker
Über Siri lässt sich die komplette Adressliste einsehen – auch wenn das iPhone oder iPad per Code-Sperre gesichert ist. Dies hat der "iPhone-Baseband-Hacker" Sherif Hashim in einem Video demonstriert.
Dafür muss der Angreifer das iOS-Sprachassistenzsystem lediglich mit einer unklaren Eingabe dazu bringen, mehrere Kontakte zur Auswahl zu stellen – beim Tippen auf "Andere" öffnet Siri dann die vollständige Adressliste ohne die Eingabe der PIN oder des Kennwortes zu verlangen.
Laut Hashim lasse sich mit "einer zusätzlichen Manipulation" anschließend auch auf sämtliche Kontakt-Details zugreifen, diese könne man dann beispielsweise bearbeiten oder weiterleiten. Wie dies geht, wolle er aber nicht zeigen.
Siri erlaubt als Standardeinstellung auch im gesperrten Zustand, bestimmte Kontakte anzurufen oder Kontaktdetails auf Nachfrage anzuzeigen, damit dafür nicht jedesmal das Kennwort eingegeben werden muss – der begrenzte Zugriff lässt sich aber in den iOS-Einstellungen für die Code-Sperre (respektive “Code & Fingerabdruck” auf dem iPhone 5s) leicht abschalten.
Die nun gezeigte Schwachstelle, die über den spezifischen Adresszugriff deutlich hinausgeht, steckt in iOS 7.1.1 und betrifft möglicherweise auch frühere iOS-Versionen. Hashim empfiehlt, den Siri-Zugriff im Sperrbildschirm bis zum nächsten iOS-Update abzuschalten (lbe)
