Apple iOS 7: deutsche Forscher entdecken weitere Sicherheitslücken

Über das Kontrollzentrum kann der Flugmodus auch ohne Passworteingabe aktiviert werden. Diebe können so letztlich die Ortung und die Fernlöschung verhindern.

Wie sich die von Apple mit dem iPhone 5S eingeführte biometrische Sicherheitsfunktion Touch ID unter iOS 7 aushebeln lässt, hatte ein Mitglied des Chaos Computer Club schon am 21. September vorgeführt. Er folgerte daraus, „dass biometrische Daten zur Verhinderung eines unberechtigten Zugriffs vollkommen ungeeignet sind“.

Jetzt haben Forscher des deutschen Sicherheitsanbieters SR Labs haben einen Fehler in iOS 7 entdeckt, der es einem Dieb ermöglicht, das Löschen des Geräts aus der Ferne zu verhindern. In einem Video zeigen sie, dass sich auch bei einem gesperrten Gerät ohne Eingabe eines Passworts über das neue Kontrollzentrum der Flugmodus aktivieren lässt.

Lockscreen iOS /

Der Flugmodus schaltet jegliche Verbindung zum Internet wie WLAN und Mobilfunk ab. Somit verhindert er, dass das gestohlene Smartphone mithilfe der Funktion „Mein iPhone suchen“ geortet werden kann.

Die Schwachstelle gibt SR Labs zufolge Dieben auch genug Zeit, um einen gefälschten Fingerabdruck herzustellen und den biometrischen Scanner des iPhone 5S auszutricksen. Danach könne die Funktion zum Zurücksetzen von Passwörtern verwendet werden, um die iCloud- und iTunes-Konten sowie alle anderen mit dem gestohlenen Gerät verbundenen Konten des Opfers zu knacken.

„Die Fehler, die wir am Ende des Videos auflisten, umreißen die Schritte, die Apple in Betracht ziehen sollte, um die durch neue Funktionen in iOS und/oder den Fingerabdruckscanner des iPhone 5S eingeführten oder verstärkten Schwachstellen zu minimieren“, erklärte SR Labs in einem Interview mit ZDNet.com. Priorität habe ein Fehler in der Implementierung von „Mein iPhone suchen“, der es einem Dieb erlaube, mit einem gestohlenen iPhone auf das Internet und E-Mails zuzugreifen, obwohl der eigentliche Besitzer schon die Löschung des Geräts veranlasst habe. „Das ist der Fehler, der es dem Dieb in dem Video ermöglichte, die Apple-ID des Opfers zu übernehmen.“

Unter iOS 6 war der Flugmodus erst nach dem Entsperren des Geräts zugänglich. SR Labs fordert von Apple nun, den Zugriff auf den Flugmodus aus dem Kontrollzentrum zu entfernen und das Abschalten der Funkverbindungen mit einer PIN-Abfrage zu verknüpfen.

Darüber hinaus solle Apple seinen Kunden bei der Einrichtung einer Apple-ID empfehlen, keine E-Mail-Konten auf einem iOS-Gerät zu hinterlegen, die bei irgendwelchen Online-Diensten für die Wiederherstellung von Anmeldedaten hinterlegt seien, ergänzte SR Labs. Nach der Wiederherstellung der Internetverbindung solle iOS vor dem Abrufen von E-Mails zudem zuerst mit iCloud Kontakt aufnehmen, um herauszufinden, ob eine Löschung des Geräts aus der Ferne veranlasst wurde.

[mit Material von Stefan Beiersmann, ZDNet.de]

Anja Schmoll-Trautmann
Autor: Anja Schmoll-Trautmann
Redakteurin
Anja Schmoll-Trautmann Anja Schmoll-Trautmann Anja Schmoll-Trautmann

Neueste Kommentare 

Eine Kommentar zu Apple iOS 7: deutsche Forscher entdecken weitere Sicherheitslücken

  • Am 7. Oktober 2013 um 13:06 von Christoph

    Also dies Problem lässt sich nun wirklich sehr leicht lösen. Einfach in den Einstellungen unter Kontrollzentrum „Zugriff im Sperbildschirm“ abschalten und schon ist die ganze Aufregung umsonst

Schreib einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *