News vom 25.04.2018

Zugriff auf iOS über „Diesem Gerät vertrauen“

Ein Artikel von , veröffentlicht am 25.04.2018

Sicherheitslücke bei iOS: Über die Bestätigungsfunktion „Diesem Gerät vertrauen“ können Kriminelle Zugriff auf ein iPhone erhalten, etwa wenn Nutzer ihr Gerät an einer manipulierten Ladestation in einem Café aufladen. Mit einem Trick bleibt der Zugriff auch möglich, wenn das Smartphone nicht mehr per Kabel angeschlossen ist.

Mitarbeiter des IT-Sicherheitsunternehmens Symantec haben eine Schwachstelle bei iPhones und iPads entdeckt. Sie nutzt die Funktion „Diesem Gerät vertrauen“ aus.

Das Angriffsszenario sieht so aus: Cyberkriminellen könnten öffentliche Ladestationen manipulieren, etwa in Cafés oder im Flughafen. Wenn Nutzer ihr iPhone oder iPad dort zum Aufladen per Kabel anschließen, sehen sie auf dem Bildschirm ein Fenster, das sie fragt, ob sie „Dem Gerät vertrauen“ wollen.

Das ist beim Aufladen allerdings nicht nötig. Stimmen arglose Nutzer trotzdem zu, gewähren sie Zugriff auf das Gerät – zumindest so lange, wie mobiles Gerät und Ladestation per Kabel verbunden sind.

Zugriff auch ohne Kabel möglich

Durch einen Trick lässt sich der Zugriff ausweiten: Die Betrüger aktivieren auf dem iPhone heimlich über iTunes die "WLAN-Sync-Funktion". Diese Funktion erlaubt einen drahtlosen Zugriff, solange Angreifer und Gerät das gleiche WLAN nutzen.

Wenn die Betrüger auf dem Smartphone gar einstellen, dass das Gerät den Datenverkehr in Zukunft über eine bestimmte VPN-Verbindung leitet, ist auch das nicht mehr erforderlich, sie können aus der Ferne zugreifen.

VPNs (Virtual Private Networks) dienen eigentlich der Anonymisierung und dem Schutz bei unsicheren lokalen Netzwerken. Mehr darüber erfahren Sie im Beitrag Mehr Privatsphäre durch VPNs.

Gelingt der Angriff, ist verschiedenes möglich: die Angreifer können Bilder und sonstige Dateien auslesen sowie Backups des Geräteinhaltes erstellen. Wenn sie die Entwickler-Werkzeuge von Apple aktivieren, können sie sogar Apps installieren, live Bildschirmmitschnitte empfangen und beispielsweise in Echtzeit einen Chat verfolgen.

Denkbar ist das Ausnutzen der „Geräte vertrauen“-Funktion bei manipulierten öffentlichen Ladestationen. Ein anderes Szenario ist, dass der heimische Mac oder PC eines Nutzers bereits infiziert ist, die Kriminellen können ihren Zugriff dann auf das iPhone ausweiten.

Apple hat reagiert – aber nicht ausreichend

Vor der Veröffentlichung hat Symantec Apple über die Entdeckung informiert. Der IT-Konzern hat reagiert und bei iOS 11 eingeführt, dass Nutzer bei der Bestätigung der „Geräte vertrauen“-Funktion ihren Geräte-PIN eingeben müssen. Das reicht nach Ansicht von Symantec aber nicht aus, um Missbrauch zu verhindern.

Seien Sie misstrauisch

Deshalb die Warnung: Wenn Sie Ihr iPhone an einer öffentlichen Station aufladen wollen und ein Dialogfenster sehen, das sie fragt, ob Sie „Diesem Computer vertrauen“ wollen, werden Sie misstrauisch. Denn dies ist nur nötig, wenn Daten zwischen dem angeschlossenen Gerät und dem iPhone übermittelt werden sollen. Wenn nur Strom geladen wird, ist es auf keinen Fall nötig. Klicken Sie daher auf „Nicht vertrauen“.

Eine Liste mit allen vertrauenswürdigen Computern zeigt iOS nicht an. Man kann in den Einstellungen eines iOS-Geräts über den Pfad Allgemein > Zurücksetzen > Standort & Datenschutz allerdings sämtliche Berechtigungen, die man erteilt hat, löschen. Einzeln ist das leider nicht möglich. In den Einstellungen unter Allgemein können Sie zudem schauen, ob die Funktion iTunes-WLAN-Sync aktiviert ist, mit der Kriminelle drahtlos auf Ihr iPhone zugreifen würden.

Auf einer Hilfe-Seite von Apple finden Sie verschiedene Informationen zum Warnhinweis "Diesem Computer vertrauen?".

Mehr zum Thema bei mobilsicher.de

  • Die wichtigsten Einstellungen, mit denen Sie Ihr iPhone oder iPad vor Gefahren schützen können, haben wir in Form einer Checkliste zusammengetragen: „Basissicherung für iOS-Geräte“.

    • Artikel drucken:

    Beitrag teilen:

    Weitere Artikel

    Ratgeber 

    Android-Apps ersetzen: Kalender

    Zugegeben: In Sachen Komfort kann dem Google-Kalender bisher kein Konkurrent das Wasser reichen. Doch Google liest alle persönlichen Termine von Nutzer*innen mit. Wir haben drei diskrete Kalender-Alternativen für Sie.

    Mehr     Ratgeber 

    Funkzellenabfragen „alltägliches Ermittlungsinstrument“

    Das Land Berlin hat Zahlen zu Funkzellenabfragen veröffentlicht und arbeitet an einem Informationsportal für betroffene Bürgerinnen und Bürger. Laut Netzpolitik.org setzt der Staat solche Massenabfragen von Handy-Daten trotz hoher gesetzlicher Schranken routinemäßig ein.

    Mehr     Ratgeber 

    Was sind eigentlich Metadaten?

    Wenn Sie mit dem Smartphone Nachrichten schicken oder Fotos machen, werden nebenbei viele Daten erfasst – zum Beispiel Zeitpunkt und Geräteinformationen. Was solche Metadaten aussagen können und warum sie schützenswert sind, erfahren Sie hier.

    Mehr     Ratgeber 

    Diagnose fürs Handy: Was bringen die Untersuchungs-Apps?

    Für Handys gibt es Instrumente, mit denen man messen kann, ob bestimmte Dinge da drinnen richtig funktionieren. Oft sind das einfach Apps wie Castro oder Phone Doctor.

    Mehr

    Kontakt

    Institut für Technik und Journalismus e.V.
    Linienstraße 13
    10178 Berlin

    redaktion@mobilsicher.de

    Lizenz

    Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

    Förderung

    Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

    Träger

    Impressum Datenschutz