News vom 25.04.2018

Zugriff auf iOS über „Diesem Gerät vertrauen“

Ein Artikel von , veröffentlicht am 25.04.2018

Sicherheitslücke bei iOS: Über die Bestätigungsfunktion „Diesem Gerät vertrauen“ können Kriminelle Zugriff auf ein iPhone erhalten, etwa wenn Nutzer ihr Gerät an einer manipulierten Ladestation in einem Café aufladen. Mit einem Trick bleibt der Zugriff auch möglich, wenn das Smartphone nicht mehr per Kabel angeschlossen ist.

Mitarbeiter des IT-Sicherheitsunternehmens Symantec haben eine Schwachstelle bei iPhones und iPads entdeckt. Sie nutzt die Funktion „Diesem Gerät vertrauen“ aus.

Das Angriffsszenario sieht so aus: Cyberkriminellen könnten öffentliche Ladestationen manipulieren, etwa in Cafés oder im Flughafen. Wenn Nutzer ihr iPhone oder iPad dort zum Aufladen per Kabel anschließen, sehen sie auf dem Bildschirm ein Fenster, das sie fragt, ob sie „Dem Gerät vertrauen“ wollen.

Das ist beim Aufladen allerdings nicht nötig. Stimmen arglose Nutzer trotzdem zu, gewähren sie Zugriff auf das Gerät – zumindest so lange, wie mobiles Gerät und Ladestation per Kabel verbunden sind.

Zugriff auch ohne Kabel möglich

Durch einen Trick lässt sich der Zugriff ausweiten: Die Betrüger aktivieren auf dem iPhone heimlich über iTunes die "WLAN-Sync-Funktion". Diese Funktion erlaubt einen drahtlosen Zugriff, solange Angreifer und Gerät das gleiche WLAN nutzen.

Wenn die Betrüger auf dem Smartphone gar einstellen, dass das Gerät den Datenverkehr in Zukunft über eine bestimmte VPN-Verbindung leitet, ist auch das nicht mehr erforderlich, sie können aus der Ferne zugreifen.

VPNs (Virtual Private Networks) dienen eigentlich der Anonymisierung und dem Schutz bei unsicheren lokalen Netzwerken. Mehr darüber erfahren Sie im Beitrag Mehr Privatsphäre durch VPNs.

Gelingt der Angriff, ist verschiedenes möglich: die Angreifer können Bilder und sonstige Dateien auslesen sowie Backups des Geräteinhaltes erstellen. Wenn sie die Entwickler-Werkzeuge von Apple aktivieren, können sie sogar Apps installieren, live Bildschirmmitschnitte empfangen und beispielsweise in Echtzeit einen Chat verfolgen.

Denkbar ist das Ausnutzen der „Geräte vertrauen“-Funktion bei manipulierten öffentlichen Ladestationen. Ein anderes Szenario ist, dass der heimische Mac oder PC eines Nutzers bereits infiziert ist, die Kriminellen können ihren Zugriff dann auf das iPhone ausweiten.

Apple hat reagiert – aber nicht ausreichend

Vor der Veröffentlichung hat Symantec Apple über die Entdeckung informiert. Der IT-Konzern hat reagiert und bei iOS 11 eingeführt, dass Nutzer bei der Bestätigung der „Geräte vertrauen“-Funktion ihren Geräte-PIN eingeben müssen. Das reicht nach Ansicht von Symantec aber nicht aus, um Missbrauch zu verhindern.

Seien Sie misstrauisch

Deshalb die Warnung: Wenn Sie Ihr iPhone an einer öffentlichen Station aufladen wollen und ein Dialogfenster sehen, das sie fragt, ob Sie „Diesem Computer vertrauen“ wollen, werden Sie misstrauisch. Denn dies ist nur nötig, wenn Daten zwischen dem angeschlossenen Gerät und dem iPhone übermittelt werden sollen. Wenn nur Strom geladen wird, ist es auf keinen Fall nötig. Klicken Sie daher auf „Nicht vertrauen“.

Eine Liste mit allen vertrauenswürdigen Computern zeigt iOS nicht an. Man kann in den Einstellungen eines iOS-Geräts über den Pfad Allgemein > Zurücksetzen > Standort & Datenschutz allerdings sämtliche Berechtigungen, die man erteilt hat, löschen. Einzeln ist das leider nicht möglich. In den Einstellungen unter Allgemein können Sie zudem schauen, ob die Funktion iTunes-WLAN-Sync aktiviert ist, mit der Kriminelle drahtlos auf Ihr iPhone zugreifen würden.

Auf einer Hilfe-Seite von Apple finden Sie verschiedene Informationen zum Warnhinweis "Diesem Computer vertrauen?".

Geschrieben von

E-Mail

mey@jb-schnittstelle.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

App-Test 

App-Test Transportr: Bahn- und ÖPNV-Suche bundesweit

Transportr zeigt Nah- und Fernverbindungen des öffentlichen Verkehrsnetzes in Deutschland und anderen Ländern an. Herausgeber ist der deutsche Entwickler Torsten Grote, der auch Mitglied des „Free Software Foundation Europe (FSFE) e.V.“ ist.

Mehr
YouTube-Video 

Fahrplan-App Öffi: Wir sind Fan!

Im Juli 2018 flog die Fahrplan-App namens "Öffi" aus dem Google Play-Store. Während noch an einer Lösung gearbeitet wird, haben wir die kostenlose App für Bus und Bahn auf Funktionalität und Datensicherheit getestet. Ergebnis: Eure Daten bleiben, wo sie hingehören - bei euch. Und praktisch ist die App außerdem.

Ansehen
Ratgeber 

Quiz: Tracking mit dem Handy

Sind Sie in Sachen Privacy und Sicherheit ein richtiger Durchblicker, oder glauben das vielleicht nur? Sind Sie ein Angsthase, oder ein Träumer? In unserem Quiz zur dritten Woche des Cyber-Security-Monats dreht sich alles um die Analyse Ihrer Internet-Nutzung über Ihr Handy - das sogenannte Tracking.

Mehr
Der Start mit iOS 

So stellen Sie die Ortungsdienste auf dem iPhone richtig ein

Ortungsdienste auf dem Smartphone können sehr nützlich sein, wenn man sich von A nach B navigieren lässt. Sie sind aber auch ein potenzielles Datenschutzproblem. Wie Sie die Ortung für iPhone und iPad möglichst datensparsam einstellen können, zeigen wir in diesem Text.

Mehr