iOS 9 enthält angeblich eine Sicherheitslücke, mit der sich die Sperre von iPhone 6 und Co. umgehen lässt, egal ob Ihr einen Sperrcode eingerichtet habt oder TouchID benutzt. Die Methode erlaube aber, ausschließlich Fotos und Kontakte anzuschauen, weitergehenden Zugriff erlange ein Angreifer dadurch nicht. Ihr könnt Euch zwar ganz einfach schützen, müsst dafür aber teilweise auf Siri verzichten.
iDownloadblog will eine Möglichkeit herausgefunden haben, um die Sicherheitsvorkehrungen unter iOS 9 zu überlisten und Zugriff auf persönliche Daten wie Fotos und Kontakte zu erlangen. Ein knapp zweiminütiges Video demonstriert, wie das Ganze funktioniert.
Umweg über mehrere Dialoge
Die Quelle beschreibt mehrere Schritte, ehe die Sicherheitsvorkehrungen des frisch erschienenen Betriebssystems umgangen sind. Die Beschreibung bezieht sich dabei auf einen vierstelligen Code. iPhones mit TouchID, also Apple iPhone 5s, Apple iPhone 6 und Apple iPhone 6 Plus erlauben aber optional auch sechsstellige Kennungen. Zunächst gebt Ihr den Sicherheitscode viermal falsch ein. Beim fünften Mal beschränkt Ihr Euch auf drei Ziffern. Startet dann Siri über den Home Button und gebt unmittelbar danach eine vierte Zahl ein. Nutzt dazu einen nicht für TouchID registrierten Finger, damit Ihr das iPhone nicht aus Versehen entsperrt.
Euer iPhone verweigert daraufhin zwar für eine Minute weitere Eingaben, Siri ist allerdings bereits geöffnet. Fragt Siri dann, wie spät es ist, um die Uhr aufzurufen. Öffnet dann die Uhren-App, indem Ihr auf die Uhr tippt. In der rechten oberen Ecke befindet sich ein Pluszeichen, das Ihr ebenfalls antippt, woraufhin Ihr in das Feld für den Ort einfach eine willkürliche Buchstabenkombination eingebt. Im Copy&Paste-Dialog wählt Ihr nun "Alles auswählen" an und dann "Teilen".
Abschalten von Siri-Unterstützung für den Lockscreen behebt das Problem
Über diesen Weg könnt Ihr nun die Message App aufrufen, wo Ihr im Adressfeld einfach wieder eine willkürliche Zeichenfolge eingebt. Öffnet dann die Info-Seite des "Namens", indem Ihr ihn zweimal antippt. Im folgenden Dialog legt Ihr einen Kontakt an, wählt "Foto hinzufügen" an und dann "Foto auswählen" – und hier lassen sich nun Fotos anschauen, die eigentlich gesperrt sein sollten. Wenn Ihr statt einen neuen Kontakt anzulegen einfach "Zu bestehendem Kontakt hinzufügen" auswählt, könnt Ihr stattdessen die Kontaktliste einsehen.
Die Lösung, um Diebe von Euren persönlichen Daten fernzuhalten, ist einfach: Deaktiviert Siri für den Lockscreen. Da das aber nicht im Sinne von Apple sein kann, wird das Sicherheitsleck hoffentlich bald gestopft. Immerhin bietet die Lücke keine Angriffsfläche über das Internet. Der kürzlich entdeckte Angriff auf den App Store, bei dem zahlreiche mit Malware infizierte Apps in den Marktplatz gelangt sind, scheint da gefährlicher zu sein. Der Verzicht auf das iOS 9-Update ist übrigens auch nicht ratsam, da eine schwerwiegende Sicherheitslücke für iOS 8 bekannt geworden ist. Auch in iOS 9 ist diese nur teilweise behoben.
