> > > > Schwere Sicherheitslücke in FaceTime ermöglicht das Abhören anderer

Schwere Sicherheitslücke in FaceTime ermöglicht das Abhören anderer

Veröffentlicht am: von

ios12-2In iOS 12 ist eine gravierende Sicherheitslücke aufgetaucht, die es über einen FaceTime-Anruf möglich macht, das Mikrofon eines entfernten Gerätes abzugreifen. Dazu muss nur ein FaceTime-Anruf an das Zielgerät getätigt werden. Die Übertragung des Audios beginnt, bevor die angerufene Person den Anruf akzeptiert oder abgelehnt hat. Der Angerufene kann nicht erkennen, ob bereits eine Audioübertragung stattfindet oder nicht.

Betroffen sind alle Geräte ab iOS 12.1 – sowohl iPhones als auch iPads. Der Fehler scheint in der Umsetzung von Gruppenanrufen von FaceTime zu liegen. Apple hat diese Funktion inzwischen abgeschaltet und will bis Ende der Woche ein Update für iOS veröffentlichen, welches die Sicherheitslücke schließt.

Reproduziert werden kann der Bug wie folgt:

  • FaceTime-Anruf mit dem Kontakt starten, dessen Mikrofon angezapft werden soll
  • auf einem iPhone oder iPad von unten nach oben wischen und einen Kontakt zum Anruf hinzufügen
  • die eigene Rufnummer hinzufügen
  • es wird ein FaceTime-Gruppenanruf gestartet, in dem sich die angerufene Person sowie man selbst befindet

Auch wenn die angerufene Person den Anruf noch nicht akzeptiert oder abgelehnt hat, ist bereits das Audio von der Gegenstelle zu hören. Einzig durch ein Ablehnen des Anrufs wird die Übertragung dann beendet. Es kann allerdings dazu kommen, dass die FaceTime-Benutzeroberfläche gänzlich verschwindet und der angerufenen Person damit keinerlei Möglichkeit gegeben wird, darauf zu reagieren.

Offenbar ist es sogar möglich, dass auch die Kamera für den Videoanruf in der Gegenstelle aktiviert wird. Dies geschieht dann, wenn die angerufene Person den Ein/Ausschalter betätigt, um den Anruf sozusagen stummzuschalten bzw. zu ignorieren. 

Derzeit einzige Gegenmaßnahme ist das Abschalten von FaceTime, was allen iPhone- und iPad-Nutzern empfohlen wird. Apple hat den Bug bereits bestätigt und will bis Ende der Woche ein Update für iOS veröffentlichen. Zudem ist es nun nicht mehr möglich, eine dritte Person einem FaceTime-Anruf hinzuzufügen.

Das Abhören eines entfernten Mikrofons und nich viel schlimmer die mögliche Übertragung des Kamerabildes stellen eine schwerwiegende Lücke im System dar. Gerade ein Unternehmen wie Apple, das in der Außendarstellung immer auf die Sicherheit der personenbezogenen Daten hinweist, verliert damit viel an seiner Glaubwürdigkeit. Vieles wird nun darauf ankommen wie schnell und vor allem in welcher Form Apple darauf reagiert. Die Lücke im FaceTime-Service scheint geschlossen zu sein, ein iOS-Update soll die Lücke auch auf Seite der Clients schließen, doch es wird sicherlich auch darum gehen solche Lücken zukünftig grundsätzlich zu vermeiden. Komplexe Software ist aber immer anfällig für Fehler, wenngleich diese in der Benutzeroberfläche und dem Lockscreen bei iOS schon häufiger derartige Probleme machte.