iPhone: PIN-Sperre in iOS 13 umgangen

Wenn ein Smartphone gesperrt und mit einer PIN, einem Passwort oder Fingerabdruck geschützt ist, sollte es eigentlich nicht möglich sein, auf das Adressbuch zuzugreifen. Dem Youtuber Jose Rodriguez ist dies jedoch mit iOS 13 gelungen, das am 19. September veröffentlicht werden soll. Er meldete seinen Fund bereits im Juli an Apple, der iPhone-Hersteller will das Problem jedoch nicht mehr vor der Veröffentlichung von iOS 13 beheben. Zuerst hatte darüber das Onlinemagazin The Register berichtet.

Es ist nicht das erste Mal, dass Rodriguez die PIN-Sperre eines iPhones umgeht und Daten von dem Gerät abrufen kann. Im Falle von iOS 13 benötigt er einen eingehenden Anruf, auf welchen er mit einer Textnachricht antwortet. Anschließend ändert Rodriguez den Empfänger für die Textnachricht, was ihm mit Apples Sprachsteuerung Voiceover gelingt. Nun kann er einen Empfänger aus dem Adressbuch wählen und somit auch das komplette Adressbuch einsehen.

Der Angriff lässt sich verhindern, indem in den Face-ID- und Passworteinstellungen das Antworten mittels Textnachrichten ausgeschaltet wird. Standardmäßig ist diese Option jedoch aktiviert. Auch dürfte der Angriff nicht funktionieren, wenn Apples Sprachsteuerung nicht auf dem Sperrbildschirm zur Verfügung steht.

Mit iOS 12 war es Rodriguez bereits 2018 gelungen, den Sperrbildschirm eines iPhones zu umgehen. Damals konnte er sowohl auf die Kontakte als auch auf die im Gerät gespeicherten Fotos zugreifen, ohne eine PIN eingeben zu müssen. Dazu war allerdings ein kompliziertes, 37 Schritte umfassendes Prozedere notwendig. 2016 konnte Rodriguez Apples Sprachassistentin Siri dazu bringen, ihm ebenfalls Zugriff auf die Kontakte und Fotos zu gewähren. Im Jahr davor gelang ihm unter iOS 9 der Zugriff auf die gespeicherten Bilder. Auch unter Android konnte Anfang dieses Jahres mithilfe der Skype-App die Android-PIN umgangen werden. Mit der Sicherheitslücke konnte sogar ein Browser geöffnet und beispielsweise eine Webseite mit Schadcode angesurft werden.