• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Was gibt es Schöneres als den Mai draußen in der Natur mit allen Sinnen zu genießen? Lasst uns teilhaben an Euren Erlebnissen und macht mit beim Thema des Monats Da blüht uns was! ---> Klick

Siri ermöglicht Zugriff auf Kontakte und Fotos ohne Passcode oder TouchID

Cohni

Ananas Reinette
Unvergessen
Registriert
04.08.11
Beiträge
6.206
Die Tür kannst Du selber schließen, indem Du Siri und Programme für den Sperrbildschirm generell unterbindest.

Ich sehe das ähnlich wie mit der Cloud. Wenn man die Bequemlichkeiten nutzen mag, geht man auch bewußt ein paar Risiken ein. Wenn man besonderen Wert auf Sicherheit legt, vermeidet man derartige Funktionen sowieso.

Insofern habe ich für mich persönlich ehrlich gesagt hier kein großes Problem vorliegen.
 
  • Like
Reaktionen: Kannix
.holger

.holger

Borowitzky
Registriert
13.09.04
Beiträge
8.970
Cohni schrieb:
Die Tür kannst Du selber schließen, indem Du Siri und Programme für den Sperrbildschirm generell unterbindest.

Ich sehe das ähnlich wie mit der Cloud. Wenn man die Bequemlichkeiten nutzen mag, geht man auch bewußt ein paar Risiken ein. Wenn man besonderen Wert auf Sicherheit legt, vermeidet man derartige Funktionen sowieso.

Insofern habe ich für mich persönlich ehrlich gesagt hier kein großes Problem vorliegen.
Zum Vergrößern anklicken....
Eben nicht. Woher bekommen Siri und die anderen Programme den Schlüssel zum entsperren des Datenspeichers bzw. warum haben sie Zugriff auf diesen ohne dass ich meinen Sperrcode (oder Fingerabdruck) hergeben muss? Da ist glaube ich echt ein systematisches Sicherheitsproblem in iOS.
 

Cohni

Ananas Reinette
Unvergessen
Registriert
04.08.11
Beiträge
6.206
Man lässt doch den Zugriff auf den gesperrten Bildschirm bewußt zu. Das ist ein Feature, welches man nutzen kann (und somit weniger Sicherheit hat) oder nicht. Wenn man es nicht zulässt, erfolgt normalerweise kein Entsperren. Oder quasseln wir gerade aufgrund eines Denkfehlers meinerseits aneinander vorbei?
 
Magic1111

Magic1111

Tydemans Early Worcester
Registriert
25.02.13
Beiträge
392
Cohni schrieb:
Oder quasseln wir gerade aufgrund eines Denkfehlers meinerseits aneinander vorbei?
Zum Vergrößern anklicken....

Nein, Du hast schon recht.

Man kann unter Einstellungen > Touch ID & Code > weiter unten: Im Sperrzustand Zugriff erlauben explizit an- oder abwählen, was im Sperrzustand alles erlaubt ist oder nicht. U.a. kann man an dieser Stelle Siri für den Sperrzustand deaktivieren, somit funktioniert "Hey Siri" bei gesperrten iPhone nicht mehr.
 
.holger

.holger

Borowitzky
Registriert
13.09.04
Beiträge
8.970
Cohni schrieb:
Man lässt doch den Zugriff auf den gesperrten Bildschirm bewußt zu. Das ist ein Feature, welches man nutzen kann (und somit weniger Sicherheit hat) oder nicht. Wenn man es nicht zulässt, erfolgt normalerweise kein Entsperren. Oder quasseln wir gerade aufgrund eines Denkfehlers meinerseits aneinander vorbei?
Zum Vergrößern anklicken....
Vielleicht habe ich auch den Denkfehler. Aber meiner Meinung nach müsste jeder Zugriff auf die Daten die im Userspace abgelegt sind das Entschlüsselungspasswort zwingend erfordern. Dieser ist in der Secure Enclave abgelegt. Der Zugriff dadrauf dürfte nur mit dem Entsperrcode oder Fingerabdruck erfolgen (sonst könnte theoretisch jede Software drauf zugreifen).
Wenn also Siri bzw. der Lockscreen auf das Entschlüsselungspasswort (des Userspaces) zugreifen kann und Apple das mit einem Serverseitigen Flag in der Siri-Antwort (z.B. "requestpasscode=YES") für gewissen Fragen deaktivieren kann, was hindert andere Programme dann drauf zuzugreifen?
Ich bin kein Securityexperte, ich habe echt keine Antwort drauf. Nach meinem Verständnis ist da aber eine gewaltige Sicherheitslücke innerhalb von iOS. Wenn ich da nen Denkfehler habe und mich da jemand aufklären kann damit ich heute Nacht beruhigter schlafen kann, bin ich sehr glücklich.

Magic1111 schrieb:
Nein, Du hast schon recht.

Man kann unter Einstellungen > Touch ID & Code > weiter unten: Im Sperrzustand Zugriff erlauben explizit an- oder abwählen, was im Sperrzustand alles erlaubt ist oder nicht. U.a. kann man an dieser Stelle Siri für den Sperrzustand deaktivieren, somit funktioniert "Hey Siri" bei gesperrten iPhone nicht mehr.
Zum Vergrößern anklicken....
Das behebt aber nicht das Problem was ich sehe, sondern behandelt nur eines der Symptome.
 

Mitglied 105235

Gast
MichiLi schrieb:
Es geht noch viel schlimmer. Siri (bzw der Bug..) kann das iPhone auch KOMPLETT entsperren. Funktioniert bei mir am iPhone 6 128GB als auch am iPhone 6 Plus jeweils mit iOS 9.3.1:

Siri am gesperrten Handy aktivieren, Fragen wie spät es ist. Dann auf die Uhr tippen und beim Plus eine neue Stadt hinzufügen. Im Suchfeld "unlockiphone" eingeben, dann zwei drei mal auf Suchen klicken. Findet natürlich nichts. Dann auf Abbrechen klicken und dann auf den Homebutton..... alles entsperrt.
Es sollten nicht mehr als 4-5 Weltzeituhren bereits hinzugefügt sein.

Zugriff auf Fotos, Kontakte, Mails, Kalender, Nachrichten, Apps. Alles. Wie wenn es normal entsperrt worden wäre...

Ich war wirklich geschockt, als ich das das erste Mal ausprobiert hab..
Zum Vergrößern anklicken....
Nimm mal einen Finger der nicht in Touch ID hinterlegt ist wenn du auf den Homebutton drückst.

Mit Kleinenfinger habe ich es nun getestet bei mir und das funktioniert nicht, nutze ich den Zeige Finger geht es, dieser ist aber auch in Touch ID Hinterlegt.
 
  • Like
Reaktionen: Paddy2590, NorbertM und Cohni

Cohni

Ananas Reinette
Unvergessen
Registriert
04.08.11
Beiträge
6.206
@.holger
Okay, jetzt verstehe ich erst richtig, was Du meinst. Sorry.

Wenn eine Änderung serverseitig ausreichen sollte, per Siri die Passwortsperre im Gerät umgehen zu können, dann empfände ich dies auch als durchaus problematisch. Zumindest der umgekehrte Weg scheint zu funktionieren. Vor dem Fix war es ja so, dass ich zwar Siri explizit erlauben musste, bei Twitter suchen zu dürfen, um diese Umgehung zu aktivieren, aber die Rücknahme funktionierte nicht und wurde erst angeblich mit dem servierseitigen Fix behoben.

Die eine Frage ist nun hierbei, ob es sich tatsächlich um eine Korrektur auf der Serverseite handelte oder vielleicht ein "Silent Update" am iPhone vorgenommen wurde. Die andere Frage wäre, ob man zwar serverseitig ein Loch stopfen kann, aber ob jenes auch umgekehrt funktionieren kann, nämlich die Öffnung eines Loches per Fernzugriff. Letzteres wäre in der Tat bedenklich.

Wie immer bei Apple...man weiß es nicht genau und es kursieren nur Vermutungen.
 

Verlon

Wöbers Rambur
Registriert
05.09.08
Beiträge
6.458
.holger schrieb:
Vielleicht habe ich auch den Denkfehler. Aber meiner Meinung nach müsste jeder Zugriff auf die Daten die im Userspace abgelegt sind das Entschlüsselungspasswort zwingend erfordern. Dieser ist in der Secure Enclave abgelegt. Der Zugriff dadrauf dürfte nur mit dem Entsperrcode oder Fingerabdruck erfolgen (sonst könnte theoretisch jede Software drauf zugreifen).
Wenn also Siri bzw. der Lockscreen auf das Entschlüsselungspasswort (des Userspaces) zugreifen kann und Apple das mit einem Serverseitigen Flag in der Siri-Antwort (z.B. "requestpasscode=YES") für gewissen Fragen deaktivieren kann, was hindert andere Programme dann drauf zuzugreifen?
Zum Vergrößern anklicken....

Genau die Frage habe ich mir auch gestellt. Ich hatte auch gedacht, dass Fotos in der "Complete Protection" Klasse sind. Da wäre ein Zugriff, wie hier beschrieben, gar nicht möglich, da der Entschlüsselungskey beim Sperren verworfen wird und ohne passcode nicht neu erzeugt werden kann.

Ich hatte immer erwartet, dass Fotos auch in dieser Klasse sind. Sind sie offenbar aber nicht.
 
Paddy2590

Paddy2590

Querina
Registriert
07.01.16
Beiträge
184
m4d-maNu schrieb:
Nimm mal einen Finger der nicht in Touch ID hinterlegt ist wenn du auf den Homebutton drückst.

Mit Kleinenfinger habe ich es nun getestet bei mir und das funktioniert nicht, nutze ich den Zeige Finger geht es, dieser ist aber auch in Touch ID Hinterlegt.
Zum Vergrößern anklicken....
Bei mir ebenso, kann das Entsperren auf diesem Wege bei mir nicht nachstellen, trotz mehrerer Versuche.
 
Michael Reimann

Michael Reimann

Geschäftsführung
AT Administration
Registriert
18.03.09
Beiträge
8.823
uwered schrieb:
Schnell reagiert von Apple.
Ich wage aber zu Bezweifeln, dass der Fix und vor allem die Reaktions-Geschwindigkeit von Apple ein ähnliches Echo in der Medienlandschaft erzeugt
Zum Vergrößern anklicken....

Jap, Apple macht da einen guten Job.
Wo allerdings da hier ein paar mal erwähnte Medienecho zu diesem Bug zu erleben ist, frage ich mich. Außer ein paar Meldungen in den einschlägigen Portalen, habe ich nichts davon gelesen, gesehen oder gehört.
 
  • Like
Reaktionen: Cohni
uwered

uwered

Gloster
Registriert
15.09.15
Beiträge
62
Michael Reimann schrieb:
Jap, Apple macht da einen guten Job.
Wo allerdings da hier ein paar mal erwähnte Medienecho zu diesem Bug zu erleben ist, frage ich mich. Außer ein paar Meldungen in den einschlägigen Portalen, habe ich nichts davon gelesen, gesehen oder gehört.
Zum Vergrößern anklicken....

Gestern : n-tv, N24, RTL in Printmedien heute : Westfalenblatt & Neue Westfälische
 
Schillerphone

Schillerphone

deaktivierter Benutzer
Registriert
25.03.16
Beiträge
805
Ist doch gut. Die Medien sollen nur schön auf die Pauke hauen, wenn es um Apple geht. Umso schneller werden die Bugs gefixt.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
2003-2024 Apfeltalk | Made on a Mac
Oben Unten