Siri‑Lücke in iOS 9: Kontakte und Fotos auf gesperrtem iPhone anzeigen

Überblick

Warnung für iPhone‑Nutzer mit iOS 9: Eine nachgewiesene Lücke erlaubt es, auf die Kontakte und Fotos eines gesperrten Geräts zuzugreifen, obwohl ein Sperrcode (Passcode) oder Touch ID aktiviert ist. Der Fehler betrifft nur die Anzeige: Nachrichten, Videos oder andere Inhalte können dadurch nicht gelesen oder weitergeleitet werden. Fotos lassen sich nicht per Nachricht teilen, aber sie sind durchsuchbar und sichtbar.

Der Sicherheitsexperte Jeff Benjamin (idownloadblog.com) demonstrierte den Ablauf, um Nutzer auf das Problem aufmerksam zu machen und hoffte, dass Apple die Lücke als legitim anerkennt und schließt.

So funktioniert die Sicherheitslücke Schritt für Schritt

1. Geben Sie vier falsche Passcodes ein (der fünfte falsche Versuch würde iOS kurz sperren).
2. Geben Sie beim fünften Versuch drei Ziffern ein, halten Sie dann die Home‑Taste gedrückt, um Siri zu aktivieren, und geben Sie sofort die vierte Ziffer ein.
3. Das Gerät wird kurz gesperrt, aber Siri wurde bereits aktiviert.
4. Fragen Sie Siri nach der Uhrzeit.
5. Tippen Sie auf das Uhr‑Icon, um die Uhr‑App zu öffnen.
6. Tippen Sie oben rechts auf das Plus‑Symbol, um einen neuen Wecker hinzuzufügen.
7. Geben Sie im Feld “Stadt wählen” (Choose a City) etwas Falsches ein.
8. Tippen Sie in das Feld, um das Kontextmenü Kopieren/Einfügen aufzurufen und wählen Sie Alle auswählen → Teilen.
9. Tippen Sie im Teilen‑Sheet auf das Nachrichten‑Icon.
10. Geben Sie im Feld “An” (To) etwas Falsches ein und drücken Sie Return.
11. Tippen Sie zweimal auf den falschen Kontaktnamen im Feld “An”, um die Info‑Seite zu öffnen.
12. Tippen Sie auf “Neuen Kontakt erstellen” (Create New Contact).
13. Tippen Sie auf “Foto hinzufügen” (Add Photo).
14. Tippen Sie auf “Foto wählen” (Choose Photo).
15. Nun werden alle Fotos und Alben auf dem Gerät angezeigt, obwohl das iPhone noch gesperrt ist. Sie können die Bilder einzeln durchsehen.

Wenn Sie stattdessen Kontakte ansehen möchten, wählen Sie in Schritt 12 “Zu bestehendem Kontakt hinzufügen” (Add to Existing Contact).

Siehe das obige Video für eine Demonstration in etwa einer Minute.

Warum das passiert

Kurz erklärt: iOS erlaubt es Drittfunktionen (hier: Siri + Teilen + Uhr‑App), miteinander zu interagieren. Durch eine bestimmte Abfolge kann ein Menü zur Kontaktbearbeitung geöffnet werden, das Zugriff auf die Fotomediathek bietet, ohne dass das Gerät vollständig entsperrt wird. Betriebssysteme sind komplex — solche Kettenreaktionen offenbaren unerwartete Übergabepunkte zwischen Komponenten.

Wann diese Methode fehlschlägt

• Wenn Siri auf dem Sperrbildschirm deaktiviert ist.
• Wenn die Uhr‑App oder die Teilen‑Funktionen in späteren iOS‑Updates geändert oder korrigiert wurden.
• Auf Geräten, bei denen zusätzliche Mobile‑Device‑Management‑Richtlinien (MDM) oder sichere Profile aktiviert sind, die den Zugriff einschränken.

Sofortmaßnahmen für Nutzer (kurze Checkliste)

Wichtig: Wenn Sie besorgt sind, schalten Sie sofort die Siri‑Freigabe auf dem Sperrbildschirm aus:

• Öffnen Sie Einstellungen > Touch ID & Code (oder Einstellungen > Code) und geben Sie Ihren Code ein.
• Deaktivieren Sie dort die Option Siri unter “Zugriff erlauben, wenn gesperrt”.
• Vermeiden Sie temporär das Speichern sensibler Fotos auf dem Gerät, bis ein iOS‑Update vorliegt.

Maßnahmen für IT‑Verantwortliche und Administratoren

• Informieren Sie Mitarbeitende über die Lücke und empfehlen Sie, Siri auf dem Sperrbildschirm zu deaktivieren.
• Verteilen Sie eine kurze Anleitung oder ein MDM‑Konfigurationsprofil, das Siri‑Zugriffe einschränkt.
• Prüfen Sie, ob firmeneigene Geräte sensible Mediadateien enthalten, und entfernen Sie diese falls nötig.

Sicherheitshärtung und alternative Ansätze

• Deaktivieren Sie Siri auf dem Sperrbildschirm (siehe Checkliste).
• Nutzen Sie längere alphanumerische Passcodes statt 4‑stelliger Codes, um Brute‑Force‑Risiken zu reduzieren.
• Aktivieren Sie “Daten löschen” nach mehreren fehlerhaften Anmeldeversuchen, wenn das zu Ihrer Risikostrategie passt (Achtung: Datenverlust bei Diebstahl möglich).
• Verwenden Sie Mobile‑Device‑Management (MDM), um Einstellungen zentral zu erzwingen und sicherheitsrelevante Funktionen zu sperren.

Mini‑Methodik: Wie Sie die Lücke sicher reproduzieren (für Tester)

Ziel: Verifizieren, ob ein Gerät betroffen ist, ohne private Daten unnötig zu exponieren.

1. Testgerät sichern: Vollständiges Backup anfertigen.
2. Aktivieren Sie Touch ID/Passcode wie bei Produktivnutzern.
3. Führen Sie die oben beschriebene Schrittfolge durch, beobachten Sie, ob Fotos bzw. Kontakte angezeigt werden.
4. Dokumentieren Sie genaue iOS‑Buildnummer und Geräte‑Modell.
5. Setzen Sie das Gerät zurück oder verwenden Sie das Backup, um Testerstellungen rückgängig zu machen.

Kriterien bei Annahme: Fotos oder Kontakte sind sichtbar, obwohl das Gerät gesperrt ist.

Testfälle und Akzeptanzkriterien

• Test: Siri auf Sperrbildschirm an → Reproduktion möglich → FAIL.
• Test: Siri auf Sperrbildschirm aus → Keine Reproduktion → PASS.
• Test: MDM‑Einschränkungen aktiv → Keine Reproduktion → PASS.

Datenschutzhinweis

Das Problem betrifft personenbezogene Daten (Kontakte, Fotos). Unternehmen sollten prüfen, ob durch diese Lücke personenbezogene Daten unbefugt einsehbar waren, und gegebenenfalls Meldepflichten erfüllen. Lokale Datenschutzbeauftragte sollten eingebunden werden, falls sensible Daten betroffen sind.

Empfehlung für Nutzer bis zum Update

• Deaktivieren Sie Siri auf dem Sperrbildschirm sofort.
• Entfernen Sie besonders sensible Fotos von Ihrem Gerät oder speichern Sie sie verschlüsselt außerhalb des Geräts.
• Halten Sie iOS‑Updates bereit und installieren Sie Sicherheitsupdates sobald verfügbar.

Wichtig: Diese Lücke ermöglicht nur das Ansehen von Kontakten und Fotos. Nachrichten, E‑Mails oder das vollständige Entsperren bleiben weiterhin durch den Passcode/Touch ID geschützt.

Rolle‑basierte Checkliste

• Anwender: Siri auf Sperrbildschirm ausschalten; sensible Fotos verschieben.
• IT‑Admin: MDM‑Richtlinien prüfen und Sperrbildschirm‑Siri deaktivieren; Mitarbeitende informieren.
• Datenschutzbeauftragter: Risiko beurteilen; ggf. interne Meldung vorbereiten.

Kompatibilität und Hinweise zur Migration

• Diese Anleitung bezieht sich auf iOS 9. Neuere iOS‑Versionen können das Problem bereits behoben haben. Prüfen Sie die Release‑Notes von Apple und installieren Sie Updates.
• Ältere iOS‑Versionen unterscheiden sich im Verhalten von Siri und Teilen; Tests sind versionsspezifisch durchzuführen.

Fazit

Die gezeigte Schwachstelle lässt sich durch eine Kombination aus Siri‑Zugriff und UI‑Pfaden ausnutzen, um Kontakte und Fotos sichtbar zu machen. Als kurzfristige Gegenmaßnahme empfiehlt sich, Siri auf dem Sperrbildschirm abzuschalten und organisatorische Einstellungen über MDM durchzusetzen. Langfristig sollte ein iOS‑Patch von Apple die sichere Lösung liefern.

Ressource: idownloadblog

Zusammenfassung:

• Deaktivieren Sie Siri auf dem Sperrbildschirm.
• Informieren Sie Mitarbeitende und setzen Sie MDM‑Richtlinien.
• Installieren Sie iOS‑Updates, sobald verfügbar.

Hinweis: Betriebssysteme sind komplex; Sicherheitsupdates werden regelmäßig benötigt, um solche Ketten von Funktionen zu schließen.