News

iOS-Kurzbefehle können auf sensible Nutzerdaten zugreifen

Über die Ordner-erstellen-Funktion von Apples Kurzbefehle-App lässt sich auf sensible iOS-Daten zugreifen. (Screenshot: Kurzbefehle / t3n)

Eine Funktion von Apples Automatisierungs-App Kurzbefehle ermöglicht es, aus der iOS-Sandbox auszubrechen und auf sensible Daten wie Notizen oder Nachrichten zuzugreifen.

Mit Apples Kurzbefehle-App können Nutzer mit gleichnamigen Funktionsabläufen, englisch Shortcuts, Vorgänge automatisieren. Damit lasen sich unterschiedlichste Einsatz-Szenarien umsetzen, vom Beschneiden und Exportieren von Bildern übers Abspielen von Podcasts bis hin zur Erstellung ganzer Heimautomations-Ketten. Diese lassen sich auch über Siri ansprechen.

Kurzbefehle-Funktion „Ordner erstellen“ kann auf Systemordner zugreifen

Durch die Funktion Ordner erstellen, die jeder Kurzbefehl nutzen kann, lässt sich allerdings aus der iOS-Sandbox ausbrechen, die dafür sorgt, dass Apps nur auf ihre eigenen Daten zugreifen können und keine sensiblen Daten aus dem System auslesen. Dort kann bei der Pfadangabe per ../ immer höher ins Dateisystem navigiert werden. So kann man beispielsweise in den /Applications-Ordner navigieren und Daten von dort per iMessage verschicken. Das hat der Twitter-Nutzer @userlandkernel herausgefunden.

Er hat außerdem einen Kurzbefehl veröffentlicht, mit dem sich die Baseband-Firmware exportieren lässt. Neben den eher harmlosen Informationen rund um Bluetooth und WLAN ließen sich allerdings auch sensible Daten wie SMS, Notizen oder Analyse-Daten auslesen. Leo Becker weist auf Heise Online außerdem auf einen Tweet von Khaos Tian hin, der schreibt, dass sich damit auch auf die Homekit-Konfiguration zugreifen lässt. Wer beispielsweise IP-Kameras in Apples Heimautomatisierung integriert hat, kann mit dem gleichen Vorgehen auch auf zwischengespeicherte Bilder der Kameras zugreifen.

Komplett ohne Nutzeraktion lassen sich die Daten zwar nicht an Fremde schicken, wer Kurzbefehle aus dem Netz lädt, sollte aber trotzdem vor dem Ausführen schauen, welche Funktionen darin genutzt werden.

Passend dazu:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

Schreib den ersten Kommentar!

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.