Sicherheitslücke in iOS

iPhone: Forscher warnen vor Trustjacking-Angriff via Computer

Wer einen Computer am iPhone als vertrauenswürdig einstuft, bietet Hackern Angriffsfläche. Diese können Daten sogar ohne Kabelverbindung auslesen.

Apple iPhone X

© Weka Media Publishing GmbH

Das Betriebssystem fragt bei der Verbindung zwischen PC und iPhone seit iOS 7 nach, ob der Computer vertrauenswürdig ist oder nicht.

Wer sein iPhone mit dem PC verbindet, wird von iOS gefragt, ob er "diesem Computer vertrauen" möchte. Zur Auswahl stehen die Buttons "Nicht vertrauen" und "Vertrauen". Viele Nutzer tippen hier auf "Vertrauen" selbst wenn sie etwa nur ihren iPhone-Akku laden wollen. Damit machen Sie sich für Trustjacking-Attacken angreifbar, wie nun Sicherheitsforscher von Symantec warnen.

Attacke nutzt iTunes WLAN-Sync

Der Angriffsweg geht dabei über das iOS-Feature iTunes WLAN-Sync, über das Nutzer ihr iPhone auch ohne Verbindungskabel verwalten können. Fällt der eigene Computer nun in die Gewalt eines Cybercriminellen, kann dieser auf zahlreiche Funktionen und Daten des iPhones zugreifen - selbst wenn das Verbindungskabel zwischen iPhone und PC wieder gelöst wird.

Die Bestätigung des Vertrauens bei der PC-Verbindung ermöglicht es Angreifern etwa, Backups anzufertigen und Daten großzügig auszulesen. Mit Apple Entwickler-Tools wäre es sogar möglich, die iPhone-Aktivitäten per Screenshots zu überwachen. Die Voraussetzung für den Beginn einer solchen Attacke ist die Verbindung zwischen Computer und iPhone über ein Kabel und die Anmeldung im selben WLAN. 

Konnte sich der Hacker bereits Zutritt zum iPhone verschaffen, ermöglicht ihm das Aktivieren von "iTunes WLAN-Sync" eine dauerhafte Verbindung zum Gerät. In Kombination mit einer Malicious-Profile-Attacke, bei der eine VPN-Verbindung auf dem iPhone eingerichtet wird, würde es sogar keine Rolle mehr spielen, ob beide Geräte im selben WLAN angemeldet sind. Zum Überprüfen der aktuellen "iTunes WLAN-Sync"-Einstellungen tippen iOS-Benutzer in den iOS-Einstellungen auf Allgemein und scrollen zum Punkt iTunes WLAN-Sync.  

Apple reagiert in iOS 11 - Symantec warnt dennoch

Nach der Vorwarnung durch die Sicherheitsforscher erweiterte Apple sein Betriebssystem in iOS-Version 11 um eine PIN, die Nutzer vor der ersten vertrauenswürdigen Verbindung mit einem PC eingeben müssen. Symantec kritisiert diese Lösung jedoch als etwas kurzsichtig, da Trustjacking trotz der neuen Funktion möglich sei. Wenn der verbundene Computer kompromittiert sei, würde der Exploit weiter wie beschrieben funktionieren.

Symantec rät daher, dass Nutzer zur Vermeidung solcher Angriffe öffentliche Computer niemals als vertrauenswürdig bestätigen sollten. Für optimalen Schutz sollte sogar der heimische PC nicht vertrauenswürdig eingestuft werden, denn auch dieser kann gehackt werden. 

Mehr zum Thema

iPhone Hack
Youtube-Video

Ein Youtube-Kanal hat ein Video ins Netz gestellt, auf dem mit Hilfe einer kleinen Box ein iPhone 7 und ein iPhone 7 Plus entsperrt werden.
Apple iPhone 6
iOS 11.2.2

Sicherheitslücke geschlossen, aber Performance verschlechtert - das konstatiert ein aktueller Benchmark-Test des iPhone 6 mit der neuesten…
Screenshot: Apple iOS 9 Preview
Quellcode-Leak

Ein Teil des Quellcodes von iOS 9 ist ins Netz gelangt. Ernstzunehmende Sicherheitslücke für iPhone und Co.? Was sagt Apple zum Leak?
Apple iPhone 8 (Plus) Rückkamera
Unsichere iOS-Apps

Bestimmte Werbeanzeigen in iOS-Apps fordern Nutzer auf, Konfigurationsprofile zu installieren. Warum das Risiken bergen kann, erfahren Sie hier.
Apple iPhone X
Datenschutz

Siri liest private Nachrichten aus WhatsApp und dem Facebook-Messenger vor, selbst wenn das Gerät gesperrt ist. Schuld ist wohl ein iOS-Bug.
Alle Testberichte
Audio-Technica ATH ADX-5000
Over-Ear-Kopfhörer
Der ATH-ADX5000 von Audio-Technica ist mit seiner offenen Konstruktion eher für den Musikgenuss zu Hause gedacht. Wie klingt der Kopfhörer im Test?
Aquaris V BQ
Android-Smartphones
77,2%
Mit dem Aqua­ris V adressiert BQ preisbewusste Käufer. Was bietet das Smartphone für 250 Euro und wie gut schneidet es…
Samsung Galaxy A3 rosa
Testberichte
Alle Tests von Smartphones, Handys, Tablets, Navis, Notebooks und Ultrabooks, DECT-Telefonen und DSL-Routern in der Übersicht.