iPhone-Schwachstelle So leicht lässt sich Siri austricksen

Am Passcode und Fingerabdrucksensor fremder iPhones kommt man normalerweise nicht vorbei - außer man stellt Siri die richtigen Fragen. Zum Glück lässt sich ihr Fehlverhalten einfach abstellen.

SPIEGEL ONLINE

Apple tut einiges für die Sicherheit von iPhones. Um den Homescreen zu entsperren und die auf dem Handy gespeicherten Daten lesen zu können, muss man sich entweder mit einem der zuvor registrierten Fingerabdrücke identifizieren oder die Pin kennen, mit der das Gerät gesperrt ist. Optional lässt sich einstellen, dass der Speicher nach zehn erfolglosen Anmeldeversuchen gelöscht wird. Daran hat sich lange auch das FBI die Zähne ausgebissen.

Dabei gibt es einen einfachen Trick, mit dem sich die aufwendigen Sicherheitsmaßnahmen zumindest so weit aushebeln lassen, dass man auch Zugriff auf Fotos und Adressbuch fremder iPhones erhält. Man muss nur ein bisschen nett zu Siri sein. Stellt man Apples sprachgesteuerter Assistenzfunktion die richtigen Fragen, rückt sie nach kurzer Zeit nicht nur die passenden Antworten raus, sondern gewährt nebenbei auch noch Zugriff auf private Daten des Nutzers.

Das Apple-Blog "9to5mac" hatte zuerst über diese Schwachstelle berichtet, die zumindest im neuesten iOS-Update 9.3.1 zu finden ist. Wir haben ausprobiert, ob sich der Datenschutz eines Apple-Handys wirklich so einfach aushebeln lässt, wie es die US-Kollegen beschreiben. Von der Sicherheitslücke betroffen sind demnach nur die ganz aktuellen Modelle iPhone 6S und 6S Plus.

Tatsächlich lässt sich Siri leicht überlisten:

Zuerst ruft man Siri vom Sperrbildschirm aus mit dem Befehl "Hey, Siri" auf, bittet sie dann, eine Suche auf Twitter durchzuführen. Im ersten Anlauf schienen Apples Vorsichtsmaßnahmen hier noch zu greifen. Siri verweigerte den Zugriff mit dem Hinweis, man müsse das iPhone erst entsperren, um eine solche Suchanfrage durchzuführen.

Lange hielt die digitale Assistentin diese Blockade bei unserem Versuch freilich nicht durch. Als wir exakt dieselbe Anfrage noch einmal stellten, bat sie zwar um die Erlaubnis, eine solche Twitter-Suche durchzuführen, forderte für das Okay aber keine Identifizierung ein (siehe Fotostrecke). Eine Sekunde, nachdem wir die gegeben hatten, fragte Siri nur noch, wonach wir Twitter denn durchsuchen wollen.

Alles Weitere ging dann schnell. Man fragt nach der Endung eines weit verbreiteten E-Mail-Anbieters, also etwa Gmail.com oder Hotmail.de. In dazu passenden Tweets, die daraufhin angezeigt werden, wählt man dann eine E-Mail-Adresse aus und nutzt de 3D-Touch-Funktion der iPhones: Drückt man etwas stärker auf die Adresse, öffnet sich ein Menü, in dem man unter anderem auswählen kann, dass man einen neuen Kontakt erstellen oder die Adresse einem bestehenden Kontakt hinzufügen will.

Wählt man hier Neuen Kontakt erstellen aus, landet man in der entsprechenden Eingabemaske des Adressbuchs. Tippt man hier auf Foto hinzufügen, hat man Zugriff auf die gesamte Bilderdatenbank des Handys.

Entscheidet man sich stattdessen für Zu Kontakt hinzufügen, kann man nach Herzenslust in der Adressdatenbank des iPhone-Besitzers stöbern.

Siri den Mund verbieten

Dass Apple an einem Update arbeitet, das Siri ihre Leichtgläubigkeit austreibt, ist zwar anzunehmen, offiziell aber nicht bestätigt. Eine Anfrage bezüglich dieses Problems hat Apple bis zum Dienstagmittag noch nicht beantwortet.

Bis Apple einen Fix für diese Sicherheitslücke anbietet, sollte man sich also selbst absichern. Dazu muss man Siri nur den Mund verbieten, zumindest auf dem Sperrbildschirm. Das geht am effizientesten, indem man unter Einstellungen/Touch ID & Code im Feld Im Sperrzustand Zugriff erlauben den Schalter für Siri deaktiviert.

Ist das erledigt, hört die digitale iPhone-Assistentin einfach nicht mehr zu, solange man das Smartphone nicht per Passcode oder Fingerabdruck entsperrt hat. Die Wartezeit, bis Apple Siris Sicherheitslücke schließt, kann man sich dann vertreiben, indem man nach neuen Scherzen in ihrer Datenbank sucht. Ein paar der etwas älteren haben wir in der folgenden Bilderstrecke zusammengetragen.

mak

Mehr zum Thema


insgesamt 30 Beiträge
Alle Kommentare öffnen
Seite 1
appel&ei 05.04.2016
1.
Fazit: Auf das update des update des update warten. Oder: Ein feature phone besitzen ;-) Und gleichzeitig hoffen, dass sehr bald noch ein Sicherheitsupdate nachfolgt um die i-Devices wieder hack-sicherer zu machen. Den Mythos des sicheren OS wenigtens im Ansatz wiederherstellt.
Nonvaio01 05.04.2016
2. Wow
so eine gravirende schwachstelle, was defacto alle pins und sonstige verkehrungen ungueltig macht wird lapidar mit "dann muss man Siri den Mund verbieten" abgehandelt. Unglaublich, jede andere Firma ausser Apple waehre auf Spon gekreuzigt worden...und das zu recht. Bei Apple ist das alles noch witzig und Hip oder wie soll ich das verstehen?
JoKlein 05.04.2016
3. Auch bei älteren iPhones
Die gleiche Schwachstelle lässt sich auch bei meinem iPhone 6 ausnutzen. Sind also nicht nur die neuesen Generation iPhones betroffen.
doubleq63 05.04.2016
4. Nicht nachvollziehbar
Ich habe es mehrmals probiert, Siri blockiert weiterhin. Also alles ein "Sturm im Wasserglas"?
felisconcolor 05.04.2016
5. Zitat
"Lange hielt die digitale Assistentin diese Blockade bei unserem Versuch freilich nicht durch. Als wir exakt dieselbe Anfrage noch einmal stellten, bat sie zwar um die Erlaubnis, eine solche Twitter-Suche durchzuführen, forderte für das Okay aber keine Identifizierung ein (siehe Fotostrecke). Eine Sekunde, nachdem wir die gegeben hatten, fragte Siri nur noch, wonach wir Twitter denn durchsuchen wollen." Wenn ich das richtig lese ist also doch eine Identifikation gegeben worden. Also ist das doch alles nur Schmarrn. Entweder hat der Autor den Originaltext nicht richtig verstanden oder er ist einem Aprilscherz aufgesessen.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2016
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.