News vom 25.04.2018

Zugriff auf iOS über „Diesem Gerät vertrauen“

Ein Artikel von , veröffentlicht am 25.04.2018

Sicherheitslücke bei iOS: Über die Bestätigungsfunktion „Diesem Gerät vertrauen“ können Kriminelle Zugriff auf ein iPhone erhalten, etwa wenn Nutzer ihr Gerät an einer manipulierten Ladestation in einem Café aufladen. Mit einem Trick bleibt der Zugriff auch möglich, wenn das Smartphone nicht mehr per Kabel angeschlossen ist.

Mitarbeiter des IT-Sicherheitsunternehmens Symantec haben eine Schwachstelle bei iPhones und iPads entdeckt. Sie nutzt die Funktion „Diesem Gerät vertrauen“ aus.

Das Angriffsszenario sieht so aus: Cyberkriminellen könnten öffentliche Ladestationen manipulieren, etwa in Cafés oder im Flughafen. Wenn Nutzer ihr iPhone oder iPad dort zum Aufladen per Kabel anschließen, sehen sie auf dem Bildschirm ein Fenster, das sie fragt, ob sie „Dem Gerät vertrauen“ wollen.

Das ist beim Aufladen allerdings nicht nötig. Stimmen arglose Nutzer trotzdem zu, gewähren sie Zugriff auf das Gerät – zumindest so lange, wie mobiles Gerät und Ladestation per Kabel verbunden sind.

Zugriff auch ohne Kabel möglich

Durch einen Trick lässt sich der Zugriff ausweiten: Die Betrüger aktivieren auf dem iPhone heimlich über iTunes die "WLAN-Sync-Funktion". Diese Funktion erlaubt einen drahtlosen Zugriff, solange Angreifer und Gerät das gleiche WLAN nutzen.

Wenn die Betrüger auf dem Smartphone gar einstellen, dass das Gerät den Datenverkehr in Zukunft über eine bestimmte VPN-Verbindung leitet, ist auch das nicht mehr erforderlich, sie können aus der Ferne zugreifen.

VPNs (Virtual Private Networks) dienen eigentlich der Anonymisierung und dem Schutz bei unsicheren lokalen Netzwerken. Mehr darüber erfahren Sie im Beitrag Mehr Privatsphäre durch VPNs.

Gelingt der Angriff, ist verschiedenes möglich: die Angreifer können Bilder und sonstige Dateien auslesen sowie Backups des Geräteinhaltes erstellen. Wenn sie die Entwickler-Werkzeuge von Apple aktivieren, können sie sogar Apps installieren, live Bildschirmmitschnitte empfangen und beispielsweise in Echtzeit einen Chat verfolgen.

Denkbar ist das Ausnutzen der „Geräte vertrauen“-Funktion bei manipulierten öffentlichen Ladestationen. Ein anderes Szenario ist, dass der heimische Mac oder PC eines Nutzers bereits infiziert ist, die Kriminellen können ihren Zugriff dann auf das iPhone ausweiten.

Apple hat reagiert – aber nicht ausreichend

Vor der Veröffentlichung hat Symantec Apple über die Entdeckung informiert. Der IT-Konzern hat reagiert und bei iOS 11 eingeführt, dass Nutzer bei der Bestätigung der „Geräte vertrauen“-Funktion ihren Geräte-PIN eingeben müssen. Das reicht nach Ansicht von Symantec aber nicht aus, um Missbrauch zu verhindern.

Seien Sie misstrauisch

Deshalb die Warnung: Wenn Sie Ihr iPhone an einer öffentlichen Station aufladen wollen und ein Dialogfenster sehen, das sie fragt, ob Sie „Diesem Computer vertrauen“ wollen, werden Sie misstrauisch. Denn dies ist nur nötig, wenn Daten zwischen dem angeschlossenen Gerät und dem iPhone übermittelt werden sollen. Wenn nur Strom geladen wird, ist es auf keinen Fall nötig. Klicken Sie daher auf „Nicht vertrauen“.

Eine Liste mit allen vertrauenswürdigen Computern zeigt iOS nicht an. Man kann in den Einstellungen eines iOS-Geräts über den Pfad Allgemein > Zurücksetzen > Standort & Datenschutz allerdings sämtliche Berechtigungen, die man erteilt hat, löschen. Einzeln ist das leider nicht möglich. In den Einstellungen unter Allgemein können Sie zudem schauen, ob die Funktion iTunes-WLAN-Sync aktiviert ist, mit der Kriminelle drahtlos auf Ihr iPhone zugreifen würden.

Auf einer Hilfe-Seite von Apple finden Sie verschiedene Informationen zum Warnhinweis "Diesem Computer vertrauen?".

Weitere Artikel

YouTube-Video 

Jahresrückblick: 20 Lieblings-Apps der Redaktion

Das ganze Jahr über recherchieren wir für Sie datensparsame Alternativen zu den bekannten Marktführern. Hier sind unsere Lieblings-Apps 2020.

Ansehen
YouTube-Video 

Handy-Privacy: 10 Fragen und Antworten | Vol. 4

Warum kostenlose VPN-Dienste eine schlechte Wahl sind, welche Adblocker Sie nutzen können und weshalb Kindersicherungs-Apps besser nicht aus der Ferne gesteuert werden sollten – darüber reden wir in unserem neuen Video. Weitere Themen: Play-Guthaben, PayPal, Clouds, F-Droid und IMEI.

Ansehen
YouTube-Video 

E-Mails auf dem Handy: Diese Apps sind sicher (Android)

Mail-Apps helfen, E-Mails auf dem Handy zu verwalten. Doch nicht alle Android-Apps sind sicher - manche lesen sogar Passwörter und E-Mail-Inhalte aus. Welche Apps falsche Freunde sind und welchen Sie vertrauen können, erfahren Sie im Video.

Ansehen
Ratgeber 

Unbekannte Kosten auf der Handyrechnung

Wenn auf der Handyrechnung plötzlich Kosten auftauchen, von denen man nicht weiß, woher sie kommen, ist guter Rat teuer. Denn nicht selten stecken professionelle Betrüger dahinter. Was kann man gegen solche Forderungen tun? Wie können Nutzer vorbeugen?

Mehr