iOS 9.3.1 zu freigiebig: 3D Touch zeigt Kontaktinfos trotz Passcode
Apples aktuelles iPhone-Betriebssystem, iOS 9.3.1, ermöglicht den Zugriff auf die im Adressbuch gespeicherten Kontaktinformationen trotz aktiver Passcode-Sperre. Dies geht aus einem jetzt veröffentlichen YouTube-Video hervor, das die Umgehung der Gerätesperre in weniger als 60 Sekunden demonstriert.
Die Schwachstelle lässt sich jedoch nur auf all jenen Geräten ausnutzen, die den kräftigen Druck auf das Display, Apples 3D-Touch-Geste, erkennen. Zudem muss die Sprachassistentin Siri auf den Geräten bereits die Erlaubnis erhalten haben, auf den Kurznachrichtendienst Twitter zugreifen zu dürfen.
Sind beide Voraussetzungen erfüllt, lässt sich der Zugriff auf die Kontakte wie folgt realisieren: Ein nicht autorisierter Nutzer bittet Siri um die Suche auf Twitter und lässt sich die Ergebnisse auf dem Sperrbildschirm des iPhones anzeigen.
Sobald in den Suchergebnissen E-Mail-Adressen oder Telefonnummern auftauchen, lassen sich diese mit einem kräftigen Druck berühren und fördern das 3D Touch-Menü zu Tage. Dieses bietet unter anderem das Hinzufügen der Information zu bereits vorhandenen Kontakten an. Wird der Menüpunkt ausgewählt, präsentiert das iPhone sein komplettes Adressbuch und gestattet das Auslesen der Kontaktinformationen trotz aktiver Gerätesperre.
Wir gehen davon aus, dass Apple die Schwachstelle mit iOS 9.3.2 beheben dürfte.