iOS 9.3.1: Bug erlaubt das Umgehen des Lockscreens (Update)

Am Donnerstag vergangener Woche hat Apple das Update auf iOS-Version 9.3.1 veröffentlicht, dieses sprach diverse Fehler des ungewöhnlich Bug-geplagten iOS 9.3 an, unter anderem bei Links in Apps. Der jüngste Fix brachte die Lösung, allerdings wurde auch ein schwerwiegender neuer Fehler eingeführt, dieser ist vor allem Sicherheits-relevant. Der mit iOS 9.3.1 eingeführte Fehler hat zur Folge, dass man mittels Sprachassistentin Siri auch bei aktiviertem Sperrbildschirm auf sensible Nutzerdaten zugreifen kann. Es ist zwar eine schwerwiegende Lücke, laut 9to5Mac sind die Chancen, dass das jemandem tatsächlich passiert, aber eher gering. Das liegt daran, dass nur Geräte mit 3D Touch betroffen sind, also iPhone 6s und iPhone 6s Plus, da das Vorgehen mehrstufig sowie recht spezifisch ist und schließlich auch physischer Zugang zum Smartphone erforderlich ist.

Twitter-Suche nach Mail-Adresse

Zuerst entdeckt wurde der Bug bzw. Exploit von Daily Dot bzw. einem spanischsprachigen Nutzer per Video, dort sind auch die Schritte genauer beschrieben. Und zwar muss man dabei das iPhone zunächst sperren, danach Siri starten und per Sprachbefehl eine Twitter-Suche initiieren. Daraufhin fragt Siri, was man suchen möchte und dann sollte man eine populäre Domain wie @gmail.com vorgeben. Denn das Ziel ist es, einen Tweet zu finden, in dem eine funktionierende E-Mail-Adresse zu finden ist.


Sobald man ein Ergebnis hat, tippt man auf einen Tweet mit einer funktionierenden Mail und öffnet per 3D Touch das Kontext-Menü. Daraufhin kann man einen neuen Kontakt erstellen und ein Foto hinzufügen, letzteres erlaubt das Durchsuchen des Geräts nach einem entsprechenden Bild. Die Kontakte selbst kann man ausschnüffeln, indem man den "neuen Kontakt" zu einem bereits vorhandenen hinzufügt, denn dann lassen sich die bereits vorhandenen Personen einsehen.

Wer Bedenken hat, kann das aber leicht selbst unterbinden und Siri den Zugang zu Fotos über die Eistellungen abdrehen (was für Kontakte aber nicht funktioniert). Dafür kann man aber die Siri-Funktionalität auf dem Lockscreen ganz abschalten, das unterbindet die Methode komplett.

Update 6. April 2016: Apple hat die Lücke mittlerweile Server-seitig gschlossen, die oben beschriebene Siri-Suche auf Twitter ist ohne das Entsperren des iPhones nicht mehr möglich. Wie 9to5Mac schreibt, ist dafür kein iOS-Update (als Download) notwendig. Vielen Dank an WinFuture-Leser Rumpelzahn für den Hinweis.