Sicherheitsforscher hebelt erneut Passwortsperre von iOS 12 aus
Betroffen ist diesmal auf die aktuelle Version iOS 12.0.1. Ein Angreifer erhält Zugriff auf Fotos und kann sich diese an seine Handynummer schicken. Der Fehler steckt in der Voice-Over-Funktion. Es muss aber auch Siri auf dem Sperrbildschirm aktiv sein.
Jose Rodriguez, der auch unter dem Youtube-Nutzernamen Videosdebarraqito bekannt ist, hat einen weiteren Bug in iOS 12 gefunden, der es erlaubt, die Passwortsperre von iPhones und iPads zu umgehen und ohne Eingabe eines Kennworts vertrauliche Informationen einzusehen. Betroffen sind diesmal alle Geräte mit iOS 12 und auch iOS 12.0.1, wie der Sicherheitsforscher berichtet und AppleInsider mit eigenen Tests bestätigt.
Allerdings benötigt ein Angreifer physischen Zugang zu einem iOS-Gerät – aus der Ferne lässt sich der Bug nicht ausnutzen. Zudem muss die Handynummer des Opfers bekannt sein, die sich der Angreifer aber auch von Siri vorlesen lassen kann. Danach muss er eine SMS an das Gerät des Opfers schicken.
In einem Video zeigt Rodriguez, dass ein Fehler in der Sprachausgabe, die ebenfalls über Siri aktiviert wird, beim Verfassen einer Antwort auf die SMS per Touch-Gesten den Zugriff auf eigentlich verborgene Bedienelemente erlaubt. Dadurch wiederum ist es möglich, beliebige Fotos aus der Galerie auszuwählen. Die Fotos sind während der Auswahl zwar nicht sichtbar, die Sprachausgabe versucht allerdings, den Inhalt zu beschreiben. Da sich mehrere Bilder zu einer Nachricht hinzufügen lassen, kann der Angreifer also auch nahezu beliebig viele Fotos anzeigen lassen.
Durch die Deaktivierung der Sprachausgabe ist es anschließend möglich, mit Wischgesten durch die ausgewählten Fotos zu blättern und auch einzelne Bilder wieder aus der Auswahl zu entfernen. Danach kann sich der Angreifer die Bilder an seine eigene Handynummer schicken.
AppleInsider weist jedoch auf eine Einschränkung hin. Zu Beginn des Angriffs müssen bestimmte Bedienelemente in einer genauen Abfolge betätigt werden: zuerst muss das Kamera-Symbol in der Nachrichten-App angetippt werden, dann muss Siri mit dem seitlichen Button gestartet und ein Doppelklick auf dem Bildschirm ausgeführt werden. Diese Abfolge kann aber beliebig wiederholt werden – bis der Fehler ausgelöst und der Bildschirm schwarz wird, um von dort die Foto-Bibliothek durch Wischen nach links aufzurufen.
Erst vor kurzem hatte Rodriguez zwei Bugs in iOS 12 an Apple gemeldet, die ebenfalls Siri und die Voice-Over-Funktion betrafen und die Bildschirmsperre unwirksam machten. Apple stopft beide Löcher mit dem Update auf iOS 12.0.1. Auch in früheren Versionen von Apples Mobilbetriebssystem war der Forscher bereits fündig geworden.
Nutzer können sich jedoch leicht vor derartigen Bugs schützen. In den Einstellungen des Sprachassistenten Siri lässt sich die Option „Siri im Sperrzustand erlauben“ deaktivieren. Allerdings muss dann für den Zugriff auf Siri das Gerät stets zuerst entsperrt werden.
061384 061385 akkus für BOSE SOUNDLINK Mini serie
063404 akkus für BOSE SOUNDLINK Mini I serie
Lenovo Idepad A1 A1-07 Tablet akkus für 121001229 L10C1P22 H11GT101A
1627 Microsoft Surface Pro 3 Docking Station 48W 12V 4A Netzteile/Adapters
M821J 6W6M1 U597G D525AF-00 525w PSU w/ 24-Pin Wire Harness Netzteile/Adapters
C21N1414 akkus für ASUS EeeBook X205T X205TA X205TA-BING-FD015B 11.6″
88796 akkus für Bose Soundlink Mini 2 Pack
Jose Rodriguez, der auch unter dem Youtube-Nutzernamen Videosdebarraqito bekannt ist, hat einen weiteren Bug in iOS 12 gefunden, der es erlaubt, die Passwortsperre von iPhones und iPads zu umgehen und ohne Eingabe eines Kennworts vertrauliche Informationen einzusehen. Betroffen sind diesmal alle Geräte mit iOS 12 und auch iOS 12.0.1, wie der Sicherheitsforscher berichtet und AppleInsider mit eigenen Tests bestätigt.
Allerdings benötigt ein Angreifer physischen Zugang zu einem iOS-Gerät – aus der Ferne lässt sich der Bug nicht ausnutzen. Zudem muss die Handynummer des Opfers bekannt sein, die sich der Angreifer aber auch von Siri vorlesen lassen kann. Danach muss er eine SMS an das Gerät des Opfers schicken.
In einem Video zeigt Rodriguez, dass ein Fehler in der Sprachausgabe, die ebenfalls über Siri aktiviert wird, beim Verfassen einer Antwort auf die SMS per Touch-Gesten den Zugriff auf eigentlich verborgene Bedienelemente erlaubt. Dadurch wiederum ist es möglich, beliebige Fotos aus der Galerie auszuwählen. Die Fotos sind während der Auswahl zwar nicht sichtbar, die Sprachausgabe versucht allerdings, den Inhalt zu beschreiben. Da sich mehrere Bilder zu einer Nachricht hinzufügen lassen, kann der Angreifer also auch nahezu beliebig viele Fotos anzeigen lassen.
Durch die Deaktivierung der Sprachausgabe ist es anschließend möglich, mit Wischgesten durch die ausgewählten Fotos zu blättern und auch einzelne Bilder wieder aus der Auswahl zu entfernen. Danach kann sich der Angreifer die Bilder an seine eigene Handynummer schicken.
AppleInsider weist jedoch auf eine Einschränkung hin. Zu Beginn des Angriffs müssen bestimmte Bedienelemente in einer genauen Abfolge betätigt werden: zuerst muss das Kamera-Symbol in der Nachrichten-App angetippt werden, dann muss Siri mit dem seitlichen Button gestartet und ein Doppelklick auf dem Bildschirm ausgeführt werden. Diese Abfolge kann aber beliebig wiederholt werden – bis der Fehler ausgelöst und der Bildschirm schwarz wird, um von dort die Foto-Bibliothek durch Wischen nach links aufzurufen.
Erst vor kurzem hatte Rodriguez zwei Bugs in iOS 12 an Apple gemeldet, die ebenfalls Siri und die Voice-Over-Funktion betrafen und die Bildschirmsperre unwirksam machten. Apple stopft beide Löcher mit dem Update auf iOS 12.0.1. Auch in früheren Versionen von Apples Mobilbetriebssystem war der Forscher bereits fündig geworden.
Nutzer können sich jedoch leicht vor derartigen Bugs schützen. In den Einstellungen des Sprachassistenten Siri lässt sich die Option „Siri im Sperrzustand erlauben“ deaktivieren. Allerdings muss dann für den Zugriff auf Siri das Gerät stets zuerst entsperrt werden.
061384 061385 akkus für BOSE SOUNDLINK Mini serie
063404 akkus für BOSE SOUNDLINK Mini I serie
Lenovo Idepad A1 A1-07 Tablet akkus für 121001229 L10C1P22 H11GT101A
1627 Microsoft Surface Pro 3 Docking Station 48W 12V 4A Netzteile/Adapters
M821J 6W6M1 U597G D525AF-00 525w PSU w/ 24-Pin Wire Harness Netzteile/Adapters
C21N1414 akkus für ASUS EeeBook X205T X205TA X205TA-BING-FD015B 11.6″
88796 akkus für Bose Soundlink Mini 2 Pack
0 Response to "Sicherheitsforscher hebelt erneut Passwortsperre von iOS 12 aus"
Kommentar veröffentlichen