Neue Lücken in Gerätesperren des iPhone und von Samsung-Handys entdeckt

Die beiden Sicherheitsforscher, die schon im Februar Schwachstellen in der Gerätesperre des iPhone beziehungsweise bestimmter Samsung-Smartphones öffentlich machten, haben neue Wege gefunden, den Sperrbildschirm der fraglichen Geräte auszuhebeln. Laut Terence Eden ist es nun möglich, den Lockscreen von Samsungs Android-Smartphones vollständig auszuschalten. Zudem können Unbefugte auch nach der Installation von iOS 6.1.3 ohne PIN-Eingabe Bilder und Fotos ausspähen.

Der Nutzer “videosdebarraquito” zeigt in einem Video, dass die Gerätesperre unter iOS 6.1.3 durch die Nutzung der Sprachwahl-Funktion überlistet werden kann. Dafür muss per Sprachbefehl eine Nummer gewählt, und während des Wahlvorgangs die SIM-Karte entfernt werden. Dabei wird das Gespräch beendet und der Zugriff auf Bilder und das Adressbuch ist möglich.

Davon betroffen sind in erster Linie iPhone 3G S und iPhone 4. Der Fehler lässt sich aber auch auf iPhone 4S und iPhone 5 reproduzieren, wenn der Sprachassistent Siri deaktiviert wurde, wodurch automatisch die anfällige Sprachsteuerung eingeschaltet wird.

iPhone-Nutzer können sich allerdings vor der Lücke schützen, indem sie auf älteren Modellen in den Einstellungen die Sprachwahl bei aktivierter Passcode-Sperre nicht zulassen. Auf iPhone 4S und iPhone 5 sollte stattdessen Siri eingeschaltet werden.

Terence Eden wiederum präsentiert in einem Video, wie sich die Gerätesperre auf einem Galaxy Note 2 mit Android 4.1.2 nun vollständig abschalten lässt. Der Fehler steckt offenbar nur in Samsungs Android-Implementierung und beispielsweise nicht in der Version, die Google selbst anbietet. Er glaubt aber, dass auch andere Smartphones der Koreaner betroffen sind.

Die Passcode-Sperre von iOS 6.1.3 lässt sich mithilfe der Sprachwahl aushebeln. Quelle: Donna Tam/ News.com.

Die Anfälligkeit hebelt nicht nur eine per PIN gesicherte Gerätesperre aus. Auch die Gesichts- und Mustererkennung sind unwirksam. Vom Sperrbildschirm aus muss ein Angreifer eine falsche Notrufnummer eingeben, um – wie schon zuvor – den Sperrbildschirm kurzzeitig zu überwinden.

Neu ist, dass bei einer mehrfachen Wiederholung des Vorgangs genug Zeit bleibt, um Googles Online-Marktplatz Play zu starten und per Spracheingabe nach “No Locking”-Apps zu suchen. Eine derartige Anwendung ist in der Lage, die Gerätesperre an sich zu deaktivieren. Nach der Installation der Anwendung erhält ein Unbefugter Zugriff auf alle Inhalte des Smartphones, ohne einen PIN oder ein Passwort eingegeben zu haben.

Eden hat Samsung nach eigenen Angaben Ende Februar über die Schwachstelle in der Gerätesperre informiert. Im Gegensatz zu der ersten Lücke habe er dieses Mal jedoch eine Antwort erhalten. Demnach soll ein Software-Fix in Arbeit sein und in Kürze veröffentlicht werden.

Nutzer, die sich noch vor Bereitstellung eines Updates durch Samsung vor der Lücke schützen wollen, können lediglich auf ein ROM eines Drittanbieters zurückgreifen. Im Forum der XDA-Developers wird seit 10. März ein aktualisiertes ROM angeboten, das den Fehler beheben soll.

[mit Material von Don Reisinger, News.com, und Zack Whittaker, ZDNet.com]

Redaktion

View Comments

  • Ich kann auf meinem Galaxy Note II keine beliebige Nummer als Notrufnummer eingeben, nur 'korrekte' Notrufnummern funktionieren.

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

2 Tagen ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

3 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

4 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

4 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

4 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

5 Tagen ago