Siri: Sicherheitslücke erlaubt Zugriff auf Fotos und Kontakte
Eine Sicherheitslücke in Apples persönlichem Assistenten Siri ermöglicht Unberechtigten unter gewissen Umständen auf einem iPhone 6s sowie der Plus-Variante über die 3D-Touch-Funktion direkt vom Lockscreen aus Zugriff auf gespeicherte Bilder und Kontakte zu erhalten. Nutzer können sich jedoch mit eigenen Vorkehrungen schützen.
Dabei soll sich laut dem Sicherheitsforscher Jose Rodriguez das Problem bis hin zur aktuellen iOS-Version 9.3.1 erstrecken. Das Ausnutzen der Lücke gestaltet sich zwar umständlich, ist dafür aber auch für unversierte Angreifer leicht umzusetzen – solange diese einen direkten Zugriff auf das Smartphone besitzen.
Für diesen muss zunächst Siri aktiviert und anschließend per Spracheingabe in Twitter nach Daten gesucht werden, welche auch in den Kontakten vorhanden sind – zum Beispiel eine E-Mail-Adresse. Ist diese vorhanden, erlaubt das System über die 3D-Touch-Funktion den Aufruf eines Kontextmenüs, mit welchem der Kontakt zu einem bereits gespeicherten hinzugefügt werden kann. Mit diesem erhält der Angreifer nun Einblick in die abgelegten Kontakte, gleiches gilt für die Freundschaftslisten unter WhatsApp. Wird zudem ein Nutzer ausgewählt, welcher über kein Kontaktbild verfügt, kann diesem eines zugeteilt werden – womit der Angreifer nun auch Zugriff auf das Fotoalbum erhält.
Umgehen der Lücke mit wenig Aufwand möglich
Für dieses Szenario muss Siri jedoch neben dem Lockscreen auch direkt auf Twitter und auf die Bilderbibliothek Zugriff haben – beides lässt sich in den Systemeinstellungen schnell deaktivieren und stellt in der aktuellen Situation die deutlich sicherere Variante dar. Mit diesem Vorgehen ist die Lücke zwar zunächst außer Kraft gesetzt, vorhanden ist diese aber nach wie vor. Wann Apple das Sicherheitsproblem beheben wird ist aktuell noch nicht bekannt.
Jose Rodriguez ist in Sachen Sicherheitsprobleme in Bezug auf den Sperrbildschirm bei iOS kein unbeschriebenes Blatt, bereits vor zwei Jahren konnte er diesen unter iOS 6.1.3 umgehen und Zugriff auf Kontaktdaten und Bilder erhalten. Zuletzt gelang ihm ein Lockscreen-Bypass im September des letzten Jahres unter iOS 9.
Apple hat nach bekanntwerden der Siri-Sicherheitslücke reagiert und laut dem Portal 9to5Mac das Problem durch eine Umstellung in den für den persönlichen Assistenten zuständigen Servern beseitigen können. Ein Update für die betroffenen Smartphones scheint also nicht erforderlich zu sein. Somit ist es ab sofort nicht mehr möglich, die Sicherung durch eine Zahlenkombination über die Siri-Spracheingabe zu umgehen. Zudem ist es nun ebenfalls nicht mehr möglich über Siri den Nightshift- und Stromsparmodus gleichzeitig zu verwenden.