News vom 25.04.2018

Zugriff auf iOS über „Diesem Gerät vertrauen“

Ein Artikel von , veröffentlicht am 25.04.2018

Sicherheitslücke bei iOS: Über die Bestätigungsfunktion „Diesem Gerät vertrauen“ können Kriminelle Zugriff auf ein iPhone erhalten, etwa wenn Nutzer ihr Gerät an einer manipulierten Ladestation in einem Café aufladen. Mit einem Trick bleibt der Zugriff auch möglich, wenn das Smartphone nicht mehr per Kabel angeschlossen ist.

Mitarbeiter des IT-Sicherheitsunternehmens Symantec haben eine Schwachstelle bei iPhones und iPads entdeckt. Sie nutzt die Funktion „Diesem Gerät vertrauen“ aus.

Das Angriffsszenario sieht so aus: Cyberkriminellen könnten öffentliche Ladestationen manipulieren, etwa in Cafés oder im Flughafen. Wenn Nutzer ihr iPhone oder iPad dort zum Aufladen per Kabel anschließen, sehen sie auf dem Bildschirm ein Fenster, das sie fragt, ob sie „Dem Gerät vertrauen“ wollen.

Das ist beim Aufladen allerdings nicht nötig. Stimmen arglose Nutzer trotzdem zu, gewähren sie Zugriff auf das Gerät – zumindest so lange, wie mobiles Gerät und Ladestation per Kabel verbunden sind.

Zugriff auch ohne Kabel möglich

Durch einen Trick lässt sich der Zugriff ausweiten: Die Betrüger aktivieren auf dem iPhone heimlich über iTunes die "WLAN-Sync-Funktion". Diese Funktion erlaubt einen drahtlosen Zugriff, solange Angreifer und Gerät das gleiche WLAN nutzen.

Wenn die Betrüger auf dem Smartphone gar einstellen, dass das Gerät den Datenverkehr in Zukunft über eine bestimmte VPN-Verbindung leitet, ist auch das nicht mehr erforderlich, sie können aus der Ferne zugreifen.

VPNs (Virtual Private Networks) dienen eigentlich der Anonymisierung und dem Schutz bei unsicheren lokalen Netzwerken. Mehr darüber erfahren Sie im Beitrag Mehr Privatsphäre durch VPNs.

Gelingt der Angriff, ist verschiedenes möglich: die Angreifer können Bilder und sonstige Dateien auslesen sowie Backups des Geräteinhaltes erstellen. Wenn sie die Entwickler-Werkzeuge von Apple aktivieren, können sie sogar Apps installieren, live Bildschirmmitschnitte empfangen und beispielsweise in Echtzeit einen Chat verfolgen.

Denkbar ist das Ausnutzen der „Geräte vertrauen“-Funktion bei manipulierten öffentlichen Ladestationen. Ein anderes Szenario ist, dass der heimische Mac oder PC eines Nutzers bereits infiziert ist, die Kriminellen können ihren Zugriff dann auf das iPhone ausweiten.

Apple hat reagiert – aber nicht ausreichend

Vor der Veröffentlichung hat Symantec Apple über die Entdeckung informiert. Der IT-Konzern hat reagiert und bei iOS 11 eingeführt, dass Nutzer bei der Bestätigung der „Geräte vertrauen“-Funktion ihren Geräte-PIN eingeben müssen. Das reicht nach Ansicht von Symantec aber nicht aus, um Missbrauch zu verhindern.

Seien Sie misstrauisch

Deshalb die Warnung: Wenn Sie Ihr iPhone an einer öffentlichen Station aufladen wollen und ein Dialogfenster sehen, das sie fragt, ob Sie „Diesem Computer vertrauen“ wollen, werden Sie misstrauisch. Denn dies ist nur nötig, wenn Daten zwischen dem angeschlossenen Gerät und dem iPhone übermittelt werden sollen. Wenn nur Strom geladen wird, ist es auf keinen Fall nötig. Klicken Sie daher auf „Nicht vertrauen“.

Eine Liste mit allen vertrauenswürdigen Computern zeigt iOS nicht an. Man kann in den Einstellungen eines iOS-Geräts über den Pfad Allgemein > Zurücksetzen > Standort & Datenschutz allerdings sämtliche Berechtigungen, die man erteilt hat, löschen. Einzeln ist das leider nicht möglich. In den Einstellungen unter Allgemein können Sie zudem schauen, ob die Funktion iTunes-WLAN-Sync aktiviert ist, mit der Kriminelle drahtlos auf Ihr iPhone zugreifen würden.

Auf einer Hilfe-Seite von Apple finden Sie verschiedene Informationen zum Warnhinweis "Diesem Computer vertrauen?".

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Firewalls und VPNs 

Samsungs VPN-Dienst kurz vorgestellt

„Sicheres WLAN“ ist ein VPN-Dienst, den Samsung in Kooperation mit dem Software-Anbieter McAfee auf seinen Geräten bereitstellt. Glaubt man den Angaben von Samsung, bietet der Dienst viel Schutz für die Privatsphäre zu einem vergleichsweise niedrigen Preis.

Mehr
Ratgeber 

Ratgeber: Handy gegen Diebstahl sichern

Jeden Tag werden unzählige Mobilgeräte gestohlen oder verloren. Nehmen Sie sich einen Augenblick Zeit, um sich auf einen möglichen Handy-Diebstahl vorzubereiten. Im Verlustfall können diese Vorkehrungen den Schaden zumindest begrenzen.

Mehr
Ratgeber 

Apps des Monats – die 10 besten für Android

Ein transparenter Werbe-Blocker, eine kluge Tastatur, Backup-Hilfen, Tipps für Eltern und mehr - hier sind unsere zehn spannendsten Apps des vergangenen Monats. Ab Ende März erscheint diese neue Reihe immer pünktlich am letzten Sonntag.

Mehr
YouTube-Video 

Notfallpass auf dem Handy – alle wichtigen Infos

Ob bei einem Unfall oder einem plötzlichen Kreislaufzusammenbruch - wenn Menschen gerettet werden müssen, ist der Notfallpass auf dem Smartphone eine wichtige Hilfe. Im Video erfahren Sie, wie Sie ihn nutzen können - und worauf es beim Eintragen der eigenen Daten ankommt.

Ansehen