iOS 9, Twitter & 3D Touch: Zugriff auf Kontakte auch ohne Passcode (Update)

In der vergangenen Nacht ist eine Lücke im iOS-Betriebssystem entdeckt worden. Betroffen sind Nutzer eines iPhone 6s oder iPhone 6s Plus.

Siri Twitter 3D Touch Bug

Update am 6. April: Apple hat den Fehler serverseitig behoben. Jede Siri-Abfrage von Twitter setzt nun voraus, dass das Gerät zunächst entsperrt werden muss.

Wir wissen zwar nicht genau, wie man eine solche Schwachstelle im System entdeckt, aber wir können auf unseren Geräten erfolgreich reproduzieren, was im unten eingebundenen Video gezeigt wird: Mit Hilfe von Siri, einem passenden Tweet auf Twitter sowie 3D Touch kann man die Kontakte eines gesperrten iPhones zugreifen. Unseren Erkenntnissen zufolge tritt der Fehler nicht nur mit iOS 9.3.1 auf, sondern auch mit älteren Versionen von iOS 9 – über entsprechende Hinweise in den Kommentaren würden wir uns freuen.

Wie genau der Fehler funktioniert? Mit dem Befehl „Suche auf Twitter nach…“ lässt man Siri nach einem bestimmten Suchbegriff auf Twitter suchen, während das iPhone gesperrt ist. Findet man einen Tweet mit einer E-Mail-Adresse oder einer Telefonnummer, muss man diese nur mit einem festen Druck antippen, um das 3D Touch Menü zu öffnen. Darüber gelangt man an die Option, die neuen Kontaktdaten zu einem bestehenden Kontakt zuzuordnen – und damit gelangt man an alle vorhandenen Einträge in das Adressbuch.

Siri auf dem Lockscreen deaktivieren ist momentan die einzige Lösung

Wir konnten den Fehler auf mehreren (aber nicht allen) Geräten reproduzieren, auch wenn kein Twitter-Account eingerichtet ist. iPhones und iPads ohne 3D Touch sind dagegen nicht von diesem Fehler betroffen.

Bereits vor einigen Wochen geisterten Videos durch das Netz, welches eine Umhebung der Passcode-Sperre über die Frage nach der aktuellen Uhrzeit und das Stellen eines Timers mit einem neuen iTunes-Klingelton zeigen sollte. Bei diesen weit verbreiteten Videos handelte es sich jedoch nicht um eine Sicherheitslücke, sondern zeigte wie schnell Touch ID arbeitet. Gerade beim iPhone 6s reicht ein Bruchteil einer Sekunde, um den Finger des Besitzers zu erkennen.

Der aktuelle Fehler ist dagegen eine echte Lücke im System – und wird hoffentlich mit iOS 9.3.2 behoben. Verhindern kann man die Geschichte aktuell nur, wenn man Siri auf dem Sperrbildschirm deaktiviert.

Kommentare 23 Antworten

  1. Kleinigkeit, und kein Grund, sich aufzuregen. Da wurde ein Use-Case übersehen, das kommt überall mal vor. Wird ganz sicher schnell gefixt werden.

  2. @ Obst-Micha: Tja…, gibt etliche Leute, die sich auf solche Fehlersuchen spezialisiert haben. Kann man auch gut von Leben, denn die Firmen zahlen gut für solche BUGS, wenn man sie entdeckt und meldet. ??????????????

  3. Kann ich bei meinem 6s nicht nachvollziehen. SIRI ist im gesperrten Modus freigeben. Auf die Frage bekomme ich die Antwort: „Das ist im gesperrten Modus nicht möglich“ und die Codeeingabe blendet sich ein.

  4. Da „Hey Siri“ nur auf die Stimme des Besitzers reagiert und fremde Stimmen ignoriert werden (sollen), kann man hier wohl kaum von einer Sicherheitslücke sprechen….

    1. Wie du selbst schon sagtest, SOLL Siri nur auf die eigene Stimme reagieren. Das funktioniert aber auch nicht immer. Außerdem kann man Siri auch über den Home Button aktivieren

  5. iPhone 6s, iOS 9.3.1

    Erst wird bei mit auch nach dem Passwort gefragt!
    Dann habe ich nur „suche Twitter“ gesagt und Siri fragt mich nach was ich suchen möchte!
    Nun konnte ich nach z. B. e-mail Adresse suchen und hatte im 6ten angezeigtem Tweet Erfolg.
    Nun noch mit 3D Touch auf die e-mail Adresse und Schwups……… Kontakte und Fotos offen ?

    Echt mies!!!

  6. Viel schlimmer ist dass wenn man eine Internet Adresse aufruft über diese Methode, dass komplette iPhone entsperrt wird. Also mit 3D Touch den Link öffnen und dann auf die home Taste und schwups iPhone entsperrt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Copyright © 2019 appgefahren.de