Update für iOS 12
Mit iOS 12 und iPhones, die Touch ID haben, können Sie immer noch den iPhone-Sperrbildschirm umgehen und Siri austricksen, um in das Telefon einer Person zu gelangen. Die Umgehung ist die gleiche wie in früheren Versionen des Betriebssystems:
- Drücken Sie die Home-Taste mit einem Finger, der nicht mit der Fingerabdruck-Authentifizierung verbunden ist, und fordern Sie Siri auf, aufzuwachen.
- Sagen Sie zu Siri: Mobilfunkdaten.
Siri öffnet daraufhin die Einstellungen für Mobilfunkdaten, wo Sie Mobilfunkdaten ausschalten können.
Wie schon zuvor kann dies jeder tun. Es muss nicht die Person sein, die Siri „trainiert“ hat.
Indem Sie auch den Mobilfunk abschalten, unterbinden Sie den Zugriff von Siri auf Mobilfunknetze. Sie erhalten dann die Fehlermeldung „Siri nicht verfügbar. Sie sind nicht mit dem Internet verbunden.“ Aber dieser Fehler ist Ihnen egal, denn Sie haben bereits den Sperrbildschirm des iPhones umgangen. Befindet sich das Gerät jedoch in einem Wi-Fi-Netzwerk, bleibt die Verbindung bestehen.
Andere Datenschutzlücken bleiben für Geräte mit Touch ID unter iOS 12 bestehen
Noch immer ein Problem für iPhones, die Touch ID haben: Jeder kann Siri nutzen, um Ihre neuen/ungelesenen Textnachrichten zu lesen, Textnachrichten zu senden, E-Mails zu versenden und Ihren letzten Anruf zu sehen.
Um das zu tun, fordern Sie Siri erneut auf, mit einem Finger aufzuwachen, der nicht mit der Authentifizierung des Telefons verbunden ist. Sagen Sie dann „Nachrichten lesen“, und Siri liest alle ungelesenen Textnachrichten auf dem Sperrbildschirm vor. Sagen Sie „Eine Textnachricht senden“, und Siri lässt Sie eine Nachricht diktieren und senden. Sagen Sie: „Letzte Anrufe anzeigen“, und Siri zeigt Ihren letzten Anruf an. Sagen Sie: „Sende eine E-Mail an“, und Siri lässt Sie eine E-Mail diktieren und senden.
Apple flickt die Datenschutzlücke bei den Telefonen der iPhone X-Serie
Apple hat die Datenschutzlücke bei den Telefonen der iPhone X-Serie geflickt, die alle Face ID zum Entsperren der Telefone verwenden. Es gibt keine Möglichkeit, die Aktivierung von Siri auf diesen Geräten zu erzwingen und Nicht-Besitzern den Zugriff auf Textnachrichten, Anrufprotokolle, E-Mails oder andere Apps zu ermöglichen.
Zudem werden zukünftige iPhones alle Face ID haben. Touch ID wird zwar auf iPhones bis zur iPhone-8-Serie noch unterstützt, ist aber auf neuen Geräten nicht mehr enthalten.
Sperren Sie Ihre Privatsphäre
Bis Apple die Datenschutzlücke in iPhones mit Touch ID behebt – oder bis Sie auf ein Gerät der iPhone-X-Serie upgraden können – ist Ihre beste Option, Siri auf dem Sperrbildschirm zu deaktivieren.
Update für iOS 11
Mit iOS 11 können Sie immer noch den Sperrbildschirm des iPhones umgehen und Siri austricksen, um in das Telefon einer Person zu gelangen. Die Umgehung ist die gleiche wie in der früheren Version des Betriebssystems:
- Drücken Sie die Home-Taste mit einem Finger, der nicht mit der Fingerabdruck-Authentifizierung verbunden ist, und fordern Sie Siri auf, aufzuwachen.
- Sagen Sie zu Siri: Mobilfunkdaten.
Siri öffnet daraufhin die Einstellungen für Mobilfunkdaten, wo Sie die Mobilfunkdaten ausschalten können.
Wie schon zuvor kann dies jeder tun. Es muss nicht die Person sein, die Siri „trainiert“ hat.
Indem Sie auch Wi-Fi ausschalten, schneiden Sie ihr den Zugang zu Konnektivität ab. Sie erhalten dann die Fehlermeldung „Siri ist nicht verfügbar. Sie sind nicht mit dem Internet verbunden.“ Aber dieser Fehler ist Ihnen egal, denn Sie haben bereits den Sperrbildschirm des iPhones umgangen.
Andere Datenschutzlücken bleiben
Auch das ist noch ein Problem: Jeder kann mit Siri Ihre neuen/ungelesenen Textnachrichten lesen, Textnachrichten senden und Ihren letzten Anruf sehen.
Um das zu tun, fordern Sie Siri erneut auf, mit einem Finger aufzuwachen, der nicht mit der Authentifizierung des Telefons verbunden ist. Sagen Sie dann „Nachrichten lesen“, und Siri liest alle ungelesenen Textnachrichten auf dem Sperrbildschirm vor. Sagen Sie „Eine Textnachricht senden“, und Siri lässt Sie eine Nachricht diktieren und senden. Sagen Sie: „Zeige mir die letzten Anrufe“, und Siri zeigt Ihren letzten Anruf an.
Facebook-Datenschutzlücke geschlossen
Apple hat die Lücke geschlossen, die es Ihnen erlaubte, Siri zu befehlen, auf Facebook zu posten. Jetzt sagt sie Ihnen, dass sie es nicht kann und gibt Ihnen eine Taste, um Facebook zu öffnen. Sie müssen den Passcode für das Gerät eingeben, um die App zu öffnen.
Sperren Sie Ihre Privatsphäre
Bis Apple die Lücke geflickt hat, die es Ihnen ermöglicht, den Sperrbildschirm zu umgehen und Siri zu befehlen, ist Ihre beste Option, Siri vom Sperrbildschirm aus zu deaktivieren.
iOS 10.3.2
Apple hat die Lücke, die es Ihnen ermöglicht, den Sperrbildschirm des iPhones zu umgehen, immer noch nicht geflickt. Ab iOS 10.3.2 (und der 10.3.3-Beta) kann man Siri immer noch austricksen, um in das iPhone einer Person zu gelangen.
Es funktioniert so:
- Drücken Sie den Home-Button mit einem Finger, der nicht mit der Fingerabdruck-Authentifizierung verbunden ist, und fordern Sie Siri auf, aufzuwachen.
- Sagen Sie zu Siri: Mobilfunkdaten.
Siri öffnet daraufhin die Einstellungen für Mobilfunkdaten, wo Sie die Mobilfunkdaten ausschalten können.
Jeder kann dies tun – es muss nicht die Person sein, die Siri „trainiert“ hat.
Indem Sie auch Wi-Fi ausschalten, unterbrechen Sie ihren Verbindungszugang. Sie erhalten eine Fehlermeldung: „Siri nicht verfügbar. Sie sind nicht mit dem Internet verbunden.“ Aber dieser Fehler ist Ihnen egal, denn Sie haben bereits den Sperrbildschirm des iPhones umgangen.
Nicht nur, dass jemand Siri austricksen kann, um die Mobilfunkdaten abzuschalten, er kann sie auch austricksen, um ungelesene Textnachrichten zu lesen und auf Facebook zu posten – ein großes Problem für die Privatsphäre.
Um das zu erreichen, fordern Sie Siri erneut auf, mit einem Finger aufzuwachen, der nicht mit der Authentifizierung des Telefons verbunden ist. Sagen Sie dann „Nachrichten lesen“, und Siri liest alle ungelesenen Textnachrichten auf dem Sperrbildschirm vor. Oder sagen Sie „Auf Facebook posten“, und Siri fragt Sie, was Sie auf Facebook posten möchten.
Wir haben dies mit dem iPhone 7 eines Mitarbeiters getestet, wobei jemand anderes als der iPhone-Besitzer die Befehle gab. Siri ließ die Person direkt rein.
Während wir darauf warten, dass Apple die Lücke patcht, ist die beste Option, Siri auf dem Sperrbildschirm zu deaktivieren.
iOS 9 Sperrbildschirm-Umgehungsschwachstelle
Es gibt mehrere Umgehungsschwachstellen, die es einem Angreifer ermöglichen könnten, den Passcode-Sperrbildschirm auf Apple-Geräten mit iOS 9 zu umgehen.
Die Details für vier verschiedene Angriffsszenarien wurden von Vulnerability Lab offengelegt. Es ist wichtig zu erwähnen, dass ein Angreifer physischen Zugriff auf das Gerät benötigt, um dies durchzuziehen; abgesehen davon besagt das Advisory, dass die Hacks erfolgreich auf den iPhone-Modellen 5, 5s, 6 und 6s sowie den iPad-Modellen Mini, 1 und 2 mit den iOS 9-Versionen 9.0, 9.1 und 9.2.1 ausgeführt wurden.
Sicherheitsforscher Benjamin Kunz Mejri, der vor etwa einem Monat eine andere Methode zur Deaktivierung des Passcode-Sperrbildschirms unter iOS 8 und iOS 9 veröffentlicht hat, entdeckte die Schwachstellen. Vulnerability Lab hat ein Proof-of-Concept-Video veröffentlicht, das mehrere neue Möglichkeiten zeigt, wie ein lokaler Angreifer den Passcode in iOS 9 umgehen und unbefugten Zugriff auf das Gerät erlangen kann.
„Lokale Angreifer können Siri, den Terminkalender oder das verfügbare Uhrmodul für eine interne Browser-Link-Anfrage an den App Store nutzen, die den Passcode- oder Fingerabdruck-Schutzmechanismus des Kunden umgehen kann“, heißt es in der Offenlegung. Die Angriffe nutzen Schwachstellen „in App Store-, Buy more Tones- oder Weather Channel-Links der Uhr, des Eventkalenders und der Siri-Benutzeroberfläche aus.“
Es gibt vier Angriffsszenarien, die in der Offenlegung erläutert und im Proof-of-Concept-Video demonstriert werden; jedes beginnt auf einem iOS-Gerät mit gesperrtem Passcode.
Im ersten Szenario drückt man den Home-Button, um Siri zu aktivieren, und bittet sie, eine nicht existierende App zu öffnen. Siri antwortet, dass Sie keine solche App haben, aber sie „kann Ihnen helfen, im App Store danach zu suchen.“ Das Tippen auf die App-Store-Schaltfläche öffnet ein „neues, eingeschränktes Browser-Fenster.“ Entweder wählen Sie „Aktualisieren“ und öffnen die letzte App, oder Sie „drücken zweimal auf die Home-Taste“, damit die Task-Slide-Vorschau erscheint. Wischen Sie zur aktiven Aufgabe auf der Vorderseite und das umgeht den Passcode-Sperrbildschirm auf den iPhone-Modellen 5, 5s, 6 und 6s.
Das zweite Szenario ist ähnlich: Drücken Sie zunächst zwei Sekunden lang auf den Home-Button, um Siri zu aktivieren, und lassen Sie sich dann auffordern, die Uhr-App zu öffnen. Wechseln Sie im unteren Modul zur Weltzeituhr und tippen Sie auf das Bild für das Netzwerk des Weather Channel LLC; ist die Wetter-App standardmäßig deaktiviert, öffnet sich ein neues, eingeschränktes Browser-Fenster mit App-Store-Menü-Links. Klicken Sie auf „Aktualisieren“ und öffnen Sie die letzte App, oder tippen Sie zweimal auf die Home-Taste, um zur Task-Slide-Vorschau zu gelangen. Wischen Sie zum aktiven Startbildschirm und voila – der Passcode-Sperrbildschirm ist wieder umgangen; dies funktioniert angeblich auf den iPhone-Modellen 5, 5s, 6 und 6s.
Das dritte Angriffsszenario funktioniert auf den iPad-Modellen 1 und 2, folgt aber im Grunde den gleichen Schritten wie Szenario zwei, um den Passcode zu umgehen und unberechtigten Zugriff auf das Gerät zu erhalten.
Die vierte Möglichkeit, den Passcode für den Sperrbildschirm zu umgehen, besteht darin, Siri zum Öffnen zu zwingen, indem man die Home-Taste drückt und sie bittet, „Ereignisse/Kalender-App zu öffnen.“ Ein Angreifer könnte auf den Link „Informationen des Wetterkanals“ tippen, der sich am unteren Rand des Bildschirms neben dem „Morgen-Modul“ befindet. Wenn die Wetter-App standardmäßig deaktiviert ist, öffnet sich ein neues, eingeschränktes Browserfenster mit App-Store-Links. Tippen Sie auf „Aktualisieren“ und öffnen Sie die letzte App, oder drücken Sie zweimal auf die Home-Taste, um die Task-Slide-Vorschau aufzurufen. Wischen Sie darüber, um den aktiven Startbildschirm auszuwählen, und der Passcode auf dem Sperrbildschirm wird umgangen.
Obwohl das Apple-Sicherheitsteam Berichten zufolge am 4. Januar benachrichtigt wurde, sind in der Zeitleiste zur Offenlegung der Schwachstelle keine Termine für eine Reaktion von Apple oder die Entwicklung eines Patches aufgeführt. Vulnerability Lab schlägt folgende temporäre Lösung für Anwender vor, um die Geräteeinstellungen zu härten:
- Deaktivieren Sie im Einstellungsmenü das Siri-Modul dauerhaft.
- Deaktivieren Sie auch den Veranstaltungskalender ohne Passcode, um die Push-Funktion des Weather Channel LLC-Links zu deaktivieren.
- Deaktivieren Sie im nächsten Schritt das öffentliche Bedienfeld mit dem Timer und der Weltzeituhr, um die Ausnutzung zu entschärfen.
- Aktivieren Sie die Wetter-App-Einstellungen, um die Weiterleitung zu verhindern, wenn das Modul im Veranstaltungskalender standardmäßig deaktiviert ist.