Produkte
05.11.2018

Schwachstelle in iOS 12.1 erlaubt Zugriff auf Kontakte

In der Gruppenanruf-Funktion verbirgt sich ein Fehler, mit dem man auf das Adressbuch zugreifen kann, ohne den Sperrcode eingeben zu müssen.

Mit dem Update auf iOS 12.1 hat Apple Facetime-Gruppenanrufe eingeführt und gleichzeitig eine neue Schwachstelle. So kann jemand, der physischen Zugriff auf iPhone oder iPad hat, ohne dass der Sperrcode eingeben werden muss, sämtliche Kontakte auf dem Gerät auslesen.

Um die Schwachstelle ausnutzen zu können, muss der Angreifer einen ausgehenden Anruf auslösen. Im Sperrbildschirm gelingt dies etwa mithilfe von Siri. Anschließend muss im Pull-up-Menü der Facetime-Button gedrückt werden und das Gerät in den Flugmodus versetzt werden. Sitzt der Angreifer vor einem iPad muss der Anruf direkt über Facetime gestartet werden.

Läuft das Facetime-Telefonat ist es möglich weitere Personen zu einem Gruppenanruf hinzuzufügen. Bei diesem Schritt wird das komplette Adressbuch angezeigt. Klickt man auf einen Kontakt, werden sämtliche Kontaktdetails ersichtlich.