Update: Siri verrät nun nicht mehr eure geheimsten Daten

(Bild: Josh Miller/CNET)

Apple hat die Sicherheitslücke bei seinem Sprachassistenten Siri geschlossen, die es Unbefugten erlaubte, Fotos und Kontakte auch bei gesperrtem iPhone zu sehen.

Der Sicherheitsforscher Jose Rodriguez hatte die Siri-Schwachstelle entdeckt, die nur beim iPhone 6S oder 6S Plus mit Hilfe von 3D Touch funktionierte und es dem Angreifer ermöglichte, auf die geheie Kontakte und Fotos zuzugreifen, wenn er sich im Sperrbildschirm befand und keinen Code für das Gerät besaß.

Noch gestern hat Apple das Problem durch eine zusätzliche Sicherheitsabfrage beseitigt. Nutzer müssen jetzt zunächst ihr iPhone entsperren, bevor sie Siri vom Sperrbildschirm aus für eine Suche auf Twitter verwenden können. Zuvor fragte der Assistent einfach, wonach er suchen soll, was letztlich das Ausspähen von Kontaktdaten und Fotos ermöglichte.

Lies auch: Siri soll trotz Gerätesperre persönliche Daten preisgeben

Apple hat den Patch serverseitig eingespielt. Dadurch müssen Besitzer eines iPhone 6S oder 6S Plus also kein Software-Update durchführen, um vor der Schwachstelle geschützt zu sein.

Rodriguez, der schon im September 2013 und im September 2015 auf ähnliche Sicherheitslecks in iOS 7 respektive iOS 9 hingewiesen hatte, demonstrierte seine Methode zum Umgehen der Gerätesperre mittels Siri in einem Machbarkeitsvideo. Demnach musste der Sprachassistent durch langes Drücken des Home-Button oder mittels Sprachbefehl zunächst aufgeweckt und zu einer Suche auf Twitter aufgefordert werden. Enthielten die Ergebnisse Kontaktdaten wie eine E-Mail-Adresse, ließ sich mittels 3D Touch ein Kontextmenü mit den Optionen aufrufen, eine E-Mail zu versenden oder Kontaktdaten hinzuzufügen beziehungsweise zu bearbeiten. Wurde in dem 3D-Touch-Schnellwahlmenü der Punkt „Zu bestehendem Kontakt hinzufügen“ gewählt, öffnete sich die iPhone-Kontaktliste, über die sich für die Bildauswahl auch auf dem Gerät gespeicherte Fotos anzeigen ließen.

Gegenüber AppleInsider erklärte Rodriguez, die Lücke könne auch bei Verwendung von Siri für eine Suche in der WhatsApp-Kontaktliste ausgenutzt werden. Seine Methode funktionierte bis zum inzwischen eingespielten Patch auch noch unter dem aktuellen iOS 9.3.1. Allerdings mussten dafür einige Voraussetzungen erfüllt sein. Vor allem musste der Gerätebesitzer Siri zuvor Zugang zum Twitter-Konto, der Fotobibliothek und verwandten Anwendungen eingeräumt haben – entweder durch eine Siri-Suche oder die manuelle Konfiguration der Dienstberechtigungen in den Einstellungen.

Außer der Siri-Lücke hat Apple laut 9to5Mac noch einen anderen, nicht sicherheitsrelevanten Bug behoben, durch den sich der Night-Shift-Modus im Stromsparmodus aktivieren ließ. Dies funktionierte ebenfalls unter Verwendung von Siri. Fordert der Anwender den Sprachassistenten nun dazu auf, Night Shift einzuschalten, solange sich das Gerät im Low-Power-Modus befindet, erhält er als Antwort: „Um Night Shift einzuschalten, muss ich zunächst den Stromsparmodus ausschalten. Soll ich fortfahren?“

Tipp: Wie gut kennst Du Apple? Überprüfe Dein Wissen – mit 15 Fragen auf silicon.de.

Tags :Quellen:Mit Material von Björn Greif, ZDnet.de

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Advertising