News

iOS-Kurzbefehle können auf sensible Nutzerdaten zugreifen

Über die Ordner-erstellen-Funktion von Apples Kurzbefehle-App lässt sich auf sensible iOS-Daten zugreifen. (Screenshot: Kurzbefehle / t3n)

Eine Funktion von Apples Automatisierungs-App Kurzbefehle ermöglicht es, aus der iOS-Sandbox auszubrechen und auf sensible Daten wie Notizen oder Nachrichten zuzugreifen.

Mit Apples Kurzbefehle-App können Nutzer mit gleichnamigen Funktionsabläufen, englisch Shortcuts, Vorgänge automatisieren. Damit lasen sich unterschiedlichste Einsatz-Szenarien umsetzen, vom Beschneiden und Exportieren von Bildern übers Abspielen von Podcasts bis hin zur Erstellung ganzer Heimautomations-Ketten. Diese lassen sich auch über Siri ansprechen.

Kurzbefehle-Funktion „Ordner erstellen“ kann auf Systemordner zugreifen

Durch die Funktion Ordner erstellen, die jeder Kurzbefehl nutzen kann, lässt sich allerdings aus der iOS-Sandbox ausbrechen, die dafür sorgt, dass Apps nur auf ihre eigenen Daten zugreifen können und keine sensiblen Daten aus dem System auslesen. Dort kann bei der Pfadangabe per ../ immer höher ins Dateisystem navigiert werden. So kann man beispielsweise in den /Applications-Ordner navigieren und Daten von dort per iMessage verschicken. Das hat der Twitter-Nutzer @userlandkernel herausgefunden.

Er hat außerdem einen Kurzbefehl veröffentlicht, mit dem sich die Baseband-Firmware exportieren lässt. Neben den eher harmlosen Informationen rund um Bluetooth und WLAN ließen sich allerdings auch sensible Daten wie SMS, Notizen oder Analyse-Daten auslesen. Leo Becker weist auf Heise Online außerdem auf einen Tweet von Khaos Tian hin, der schreibt, dass sich damit auch auf die Homekit-Konfiguration zugreifen lässt. Wer beispielsweise IP-Kameras in Apples Heimautomatisierung integriert hat, kann mit dem gleichen Vorgehen auch auf zwischengespeicherte Bilder der Kameras zugreifen.

Komplett ohne Nutzeraktion lassen sich die Daten zwar nicht an Fremde schicken, wer Kurzbefehle aus dem Netz lädt, sollte aber trotzdem vor dem Ausführen schauen, welche Funktionen darin genutzt werden.

Passend dazu:

Bitte beachte unsere Community-Richtlinien

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung