iPhone 6s: Siri-Lücke erlaubt Unberechtigten Zugriff auf Fotos und Kontakte

Der Sicherheitsforscher Jose Rodriguez hat eine neuerliche Lockscreen-Lücke bei iOS-Geräten entdeckt. Betroffen sind diesmal iPhone 6s und 6s Plus mit 3D-Touch-Funktion und bei gesperrtem Gerät aktivierter Sprachassistentin Siri. Wie Rodriguez in einem Video demonstriert, ist es möglich, mit etwas Mühe auf Kontakte und Fotos zuzugreifen.

3D Touch blendet Menü ein

Dazu aktiviert man zunächst Siri mittels "Hey Siri" oder einem langen Druck auf den Home-Knopf. Anschließend sucht man per Sprache in Twitter nach Daten, die auch in Kontakten vorkommen, am einfachsten wäre dies eine E-Mail-Adresse.

Ist diese gefunden, erlaubt iOS, mittels 3D Touch ein Kontextmenü aufzurufen, über das man dann den "Kontakt" zu einem bereits existierenden hinzufügen kann. Es erscheint die Kontaktübersicht. Geht man hier nun in einen Kontakt, der noch über kein Bild verfügt, lässt sich ein solches aus der Fotobibliothek hinzufügen.

Einige Voraussetzungen

Damit der Trick funktioniert, müssen allerdings einige Voraussetzungen erfüllt sein. So muss Siri zunächst einmal vom Lockscreen erreicht werden können, was man über die Systemeinstellungen schnell abdrehen kann. Zudem muss die Sprachassistentin bereits Zugriff auf Twitter oder die Fotobibliothek haben, wozu beim ersten Mal entsprechende Berechtigungen (Permissions) abgefragt werden, die der Nutzer bestätigen muss (oder sie selbst konfiguriert).

In iOS 9.3.1 soll der Trick laut Rodriguez noch funktionieren. Apple plagen solche Lockscreen-Bugs, bei denen Angreifer eine Methode finden, die Gerätesperre zu umgehen, schon seit Jahren. Es ist davon auszugehen, dass Apple den Bug schnell behebt. Bis dahin sollte man die Permissions der Sprachassistentin Siri genau betrachten – oder sie im Lockscreen schlicht abdrehen. Letzteres bedeutet allerdings eine Komforteinbuße. (bsc)