Neue Sicherheitslücken bei Smartphones von Apple und Samsung
Erst vor wenigen Wochen wurde beim iPhone eine Sicherheitslücke in der Gerätesperre bekannt, durch die es möglich war, ohne Passwort-Kenntnis Kontakte und Bilder einzusehen sowie Telefonate zu gespeicherten Rufnummern zu tätigen. Dieser Fehler im Passcode des iPhones wurde Mitte der Woche mit dem Update auf iOS 6.1.3 behoben.
Wie sich nun herausstellt nicht komplett. Wie der Nutzer videosdebarraquito, der bereits die letzte Sicherheitslücke entdeckt hatte, in einem Video auf YouTube zeigt, kann die Gerätesperre unter der neuesten iOS-Version durch die Nutzung der Sprachwahl-Funktion weiterhin überlistet werden. Dafür müssen per Sprachbefehl eine Nummer gewählt und während des Wahlvorgangs die SIM-Karte aus dem Gerät entfernt werden. In Folge dessen wird das Gespräch beendet und der Zugriff auf Bilder und das Adressbuch erneut gewährt. Anrufe können allerdings nicht mehr getätigt werden.
Von diesem Problem sind in erster Linie Nutzer des iPhone 3GS und des iPhone 4 betroffen. Der Fehler lässt sich jedoch auch auf dem iPhone 4S und iPhone 5 reproduzieren, wenn der Sprachassistent Siri deaktiviert wurde, wodurch automatisch die anfällige Sprachsteuerung eingeschaltet wird. iPhone-Nutzer können sich allerdings vor der unbefugten Zugriffen schützen, indem sie auf älteren Modellen in den Einstellungen die Sprachwahl bei aktivierter Passcode-Sperre nicht zulassen. Auf dem iPhone 4S und iPhone 5 sollte stattdessen der Sprachassistent Siri eingeschaltet sein.
Neben den Problemen bei Apple ist darüber hinaus eine Sicherheitslücke in der Gerätesperre von mindestens einem Samsung-Smartphone bekannt geworden. Der Nutzer Terence Eden demonstriert in seinem YouTube-Video, wie er die Gerätesperre auf einem Galaxy Note II mit Android 4.1.2 vollständig abschaltet. Dafür muss der Nutzer vom Sperrbildschirm aus eine falsche Notrufnummer eingeben, um den Sperrbildschirm kurzzeitig zu überwinden.
Bei mehrfacher Wiederholung dieses Vorgangs bleibt dem geduldigen Nutzer genug Zeit, um Google Play zu starten und per Spracheingabe nach „No-Lock“-Apps zu suchen. Derartige Anwendungen sind in der Lage, die Gerätesperre des Smartphones an sich zu deaktivieren, sodass unbefugte Nutzer nach der Installation der Anwendung Zugriff auf alle Inhalte des Smartphones erhalten, ohne einen PIN oder ein Passwort eingeben zu müssen. Dabei ist darüber hinaus zu beachten, dass durch diese Vorgehensweise nicht nur eine per PIN gesicherte Gerätesperre ausgehebelt wird, sondern auch die Gesichts- und Mustererkennung unwirksam wird.
Der Fehler steckt offenbar nur in Samsungs Android-Implementierung, aber nicht in der Version, die Google selbst anbietet. Die Vermutung, dass auch andere Smartphones des Unternehmens von dem Sicherheitsproblem betroffen sein könnten, liegt damit nahe. Terence Eden hat den südkoreanischen Konzern nach eigenen Angaben bereits Ende Februar dieses Jahres über die Schwachstelle in der Gerätesperre informiert. Das von Samsung daraufhin für „in Kürze“ angekündigte Software-Update lässt allerdings weiterhin auf sich warten.
Nutzer, die sich noch vor Bereitstellung eines Updates durch Samsung vor der Lücke schützen wollen, können lediglich auf ein Custom-ROM eines Drittanbieters zurückgreifen. Im XDA-Developer-Forum wird seit dem 10. März ein entsprechend aktualisiertes ROM angeboten, das den Fehler beheben soll. Wann Apple den Fehler in der eigenen Passcode-Sperre in einer neuen Version des mobilen Betriebssystems iOS entfernen wird, ist zu diesem Zeitpunkt noch unbekannt.
Im Podcast erinnern sich Frank, Steffen und Jan daran, wie im Jahr 1999 alles begann.