Ein Entwickler hat auf YouTube ein Video über einen Sicherheitsfehler in iOS 13 gepostet, der allerdings erst Ende des Monats behoben wird. Gefährdete Kontakte
Nur noch drei Tage bis zum offiziellen Start des neuen mobilen Betriebssystems von Apple, der für den 19. September geplant ist, aber iOS 13 scheint schon jetzt einige ernsthafte Sicherheitsprobleme zu haben. Apple weiß seit Juli davon, hat es aber vorgezogen, die Behebung des Problems auf die nächste Version 13.1 zu verschieben.
Der Youtuber Jose Rodriguez (der auf dem Kanal "videosdebarraquito" postet) hat entdeckt, dass es möglich ist, auf ein iPhone mit iOS 13 zuzugreifen, ohne einen Sicherheitscode einzugeben, indem er FaceTime benutzt und einen Fehler in Siri ausnutzt. Wie Rodriguez gezeigt hat, ist es in wenigen Schritten möglich, auf die Kontakte auf dem Smartphone zuzugreifen, auch wenn es gesperrt ist. Rodriguez sagt, er habe Apple bereits im Juli vor der Sicherheitslücke gewarnt, aber die Schwachstelle ist in der ersten Version von iOS 13 immer noch vorhanden und wird erst in iOS 13.1 behoben, das am 30. September veröffentlicht werden soll.
Wie der Fehler in iOS 13 funktioniert
Um über die von Jose Rodriguez entdeckte Sicherheitslücke in iOS 13 auf alle Kontakte eines iPhones zuzugreifen, ohne es zu entsperren, muss man das betreffende Smartphone in die Hand nehmen. Sie müssen dann einen FaceTime-Anruf an die Telefonnummer dieses Smartphones starten. An dieser Stelle können wir, auch wenn das Telefon gesperrt ist, VoiceOver, das Bildschirmleseprogramm für Sehbehinderte, das über den digitalen Assistenten Siri funktioniert, aktivieren und wieder deaktivieren. Von nun an können wir ungehindert auf iPhone-Kontakte zugreifen, sie lesen und sogar bearbeiten.
Apple weiß das
Obwohl diese Sicherheitslücke den physischen Besitz des Smartphones erfordert, um ausgenutzt zu werden, handelt es sich eindeutig um einen ziemlich ernsten Sicherheitsfehler. Rodriguez behauptet, er habe am 17. Juli eine Videodemonstration der Sicherheitslücke an Apple geschickt. In früheren Videos hatte Rodriguez selbst gezeigt, wie man unter iOS 12.1 auf Kontakte zugreifen kann, ohne das Telefon zu entsperren. Schließlich hat iOS eine lange Geschichte von "Unsicherheiten" bei der Verwaltung des Adressbuchs: Die Versionen 6.1, 7, 8.1 und 12.1 hatten alle einen ähnlichen Fehler.
Schließlich sagt Rodriguez, dass der Fehler in iOS 13.1, dem ersten Update für Apples neues mobiles Betriebssystem, das am 30. September erscheinen wird, nicht mehr vorhanden ist. Zu diesem Zeitpunkt wird es eine etwa 10-tägige "Lücke" geben, in der Besitzer von Apple-Smartphones gut daran tun, ihre Telefone nicht unbeaufsichtigt zu lassen.