Auch wenn das iPhone oder iPad per Code-Sperre gesichert ist, lässt sich über Siri die komplette Adressliste einsehen. Der "iPhone-Baseband-Hacker" Sherif Hashim hat dies in einem Video demonstriert.

Das iOS-Sprachassistenzsystem muss dafür lediglich mit einer unklaren Eingabe dazu gebracht werden, mehrere Kontakte zur Auswahl zu stellen. Siri öffnet dann, ohne die Eingabe der PIN oder des Kennwortes zu verlangen, beim Tippen auf "Andere" die vollständige Adressliste .

Mit "einer zusätzlichen Manipulation" lasse sich, laut Hashim, anschließend auch auf sämtliche Kontakt-Details zugreifen, welche man dann beispielsweise bearbeiten oder weiterleiten könne - er wolle aber nicht zeigen, wie dies geht.

Als Standardeinstellung erlaubt Siri auch im gesperrten Zustand, damit dafür nicht jedesmal das Kennwort eingegeben werden muss, bestimmte Kontakte anzurufen oder Kontaktdetails auf Nachfrage anzuzeigen. In den iOS-Einstellungen für die Code-Sperre (respektive “Code & Fingerabdruck” auf dem iPhone 5s) lässt sich der begrenzte Zugriff aber leicht abschalten.

Die, über den spezifischen Adresszugriff deutlich hinausgehende, Schwachstelle steckt in iOS 7.1.1 und möglicherweise sind auch frühere iOS-Versionen betroffen. Bis zum nächsten iOS-Update empfiehlt Hashim, den Siri-Zugriff im Sperrbildschirm abzuschalten.

(mt, hannover)

(siehe auch Heise-News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE