Potenzielles Sicherheitsproblem: Apple warnt vor Drittanbietertastaturen
Aufgrund eines noch unbehobenen Fehlers in iOS 13.1 und iPadOS 13 erhalten Third-Party-Keyboards Vollzugriff, obwohl User dies nicht erlaubt haben.
Beispiel einer Drittanbietertastatur: SwiftKey. Sie verlangt schon jetzt vollen Zugriff, informiert Nutzer aber warum.
(Bild: Hersteller)
Auch in den erst gestern verbreiteten neuen Apple-Mobilbetriebssystemen iOS 13.1 und iPadOS 13 stecken noch sicherheitsrelevante Bugs. Darauf hat der Hersteller in einem Supportdokument hingewiesen. Betroffen sind in diesem Fall sogenannte Drittanbietertastaturen (Third-Party-Keyboards). Diese lassen sich seit iOS 8 systemweit installieren – etwa dann, wenn einem Apples Standardtastatur nicht genügend Funktionen hat. Das Problem: In iOS 13.1 und iPadOS 13 fehlt erfolgt eine wichtige Abfrage nicht.
Netzwerkzugriff ohne Abfrage möglich
Möchten Third-Party-Keyboards mit ihrer App kommunizieren sowie Netzwerk-Zugriff haben, müssen diese bislang vom Nutzer "vollen Zugriff" erbitten. Im entsprechenden Dialog steht, warum dies der Fall ist – und es besteht auch die Möglichkeit, abzulehnen. In den jüngsten iOS-Versionen sorgt nun ein Bug dafür, dass Drittanbietertastaturen alle Möglichkeiten des vollen Zugriffs erhalten, ohne dass diese Abfrage erfolgt.
Man habe einen Bug entdeckt, der "darin resultiert, dass Tastatur-Erweiterungen vollen Zugriff bekommen, selbst wenn Sie diesen nicht genehmigt haben", heißt es lapidar. Das Problem betrifft nicht Apples eigene Tastaturen, die durften schon zuvor tun und lassen, was sie wollten. Auch Third-Party-Keyboards, die den Vollzugriff nicht verwenden, also in sich gekapselt sind und keinen Netzwerkzugriff brauchen, seien nicht betroffen.
Potenziell problematische Tastaturen löschen
Ob wegen des Fehlers bereits unbemerkt Daten abgeflossen sind beziehungsweise App-Anbieter ihn ausnutzen, ist unbekannt – wenn sie dies tun, verstoßen sie aber gegen Apples App-Store-Regeln. Es ist jedoch möglich, dass aufgrund des Bugs Daten – etwa Tastatureingaben – abfließen, ohne dass das Nutzer oder App-Anbieter weiß.
Aktuell gibt es für das Problem keine Lösung, Apple kündigte einen Fix für "ein kommendes Software-Update" an. Nutzer sollten prüfen, ob bei ihnen Third-Party-Keyboards im Einsatz sind, was über die Systemeinstellungen im Bereich "Allgemein" sowie "Tastaturen" möglich ist. Sind hier Tastaturen gelistet, die der Nutzer nicht verwendet oder für problematisch hält, sollten sie gelöscht werden.
(bsc)
