„Hey Siri“ ermöglicht angeblich Passcode-/ TouchID-Umgehung unter iOS 8.0.2

Die Umgehung des Passcodes, eigentlich nur eine Frage der Zeit, bis nach einer neuen Firmware irgendwelche Anleitungen auftauchen, wie man die Passcode-Sperre umgehen kann. So auch mit iOS 8, bzw. iOS 8.0.2, der aktuellsten Version des mobilen Betriebssystems. Meist sind irgendwelchen schnellen Reaktionen oder verrenkte Finger nötig, um den Passcode zu umgehen, diesmal kann man sich einfach Siri zur Komplizin machen.

Es gibt Voraussetzungen, damit der Passcode umgangen werden kann. So muss „Hey Siri“ nicht nur aktiviert sein, sondern das iPhone auch an eine Stromquelle angeschlossen sein. Andernfalls würde „Hey Siri“ auch nicht funktionieren. Ist dies gegeben, ruft man Siri über „Hey Siri“ auf und stellt eine Frage. In der Denkpause von Siri muss man dann über den Bildschirm wischen und kommt so auf den Homescreen – ohne Passcode-Eingabe.

Laut Entdecker klappt dies nicht bei jedem Versuch, sieht man auch im Video. In der Tat konnte ich auf diese Weise weder ein iPhone 5 (ohne TouchID), noch ein iPhone 6 Plus entsperren. Bei beiden führte ich ca. 30 Versuche durch.

Muss man wegen dieser möglichen Lücke besorgt sein? Schwierig. Es ist zwar unwahrscheinlich, dass diese Konstellation „mal ebenso“ zutrifft und dann muss das Eindringen auch erst einmal klappen. Kommt allerdings das iPhone weg und man merkt es nicht, hat ein „Neubesitzer“ zumindest theoretisch die Möglichkeit, den Passcode zu umgehen.

Probiert das Szenario ruhig einmal aus und berichtet von Euren Erfolgen. Ist es Euch möglich, auf diese Weise die Passcode-Sperre zu umgehen?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

48 Kommentare

  1. Der nutzt doch seinen mit TouchID verifizierten Finger… Glaub ich irgendwie nicht so wirklich

  2. Nachdem Siri seine Antwort verstanden hat (akustisches Signal), benutzt er seinen Daumen für den Home Button, um Siri abzubrechen. Diese kurze Zeit könnte schon gereicht haben, um sein Gerät letztendlich DOCH per TouchID zu entsperren. Wenn er denselben Trick auch mit einem nicht bei TouchID registrierten Finger schafft, dann ist die Lücke wirklich vorhanden.

  3. Ist dann vermutlich auch abhängig davon wie viele Apps am laufen sind bzw. wie ausgelastet das System gerade ist … nur so ne Idee, hab ja keine iOS Erfahrung.
    Klingt ansonsten aber recht einfach und von daher nicht zu vernachlässigen …

  4. Hat bei mir beim ersten Versuch funktioniert.

  5. Sehr schön wie erst Sascha getrollt wird und dann euch trollt 😀 Ihr solltet die Quellen eurer News vertrauen und nicht jeden Bullshit posten den ihr unter die Finger bekommt. @Jon, schalte TouchID aus, mach ein Video und poste es noch in diesem Jahr.

  6. Hat bei mir 3 Versuche gebraucht – iPhone 6 … Danke Apple oO

  7. Achja – TouchID ist deaktiviert

  8. @Iguana,
    nein, sorry. Probier es selber aus. Ich habe einen Finger zum Drücken benutzt, der nicht eingespeichert ist und es geht einwandfrei. Man muss genau dann drücken, wenn alle Wörter im Display stehen. Aber wir werden die Tage sicher genug Beweisvideos sehen.

  9. @Jon Loser!

  10. @Jon, das werden wir bestimmt. Ob es nun Beweisvideos sind, bezweifel ich aber sehr stark, da es – genauso wie der angebliche Facebook Glitch – vollkommener Mumpitz ist. Aber dennoch muss ich gestehen, dass es mich zu amüsieren anregt. Der Bend Hype scheint ja vorbei zu sein – nun muss wieder was neues her, da der Hypetrain weiterfahren möchte 😀 Ich weiß aber nicht was jetzt schlimmer ist: Das Du überzeugt bist, das eine 0 auch eine 1 sein kann oder das dir die Leute diese Aussage auch noch glauben.

  11. @Jon. Hier geht es definitiv nicht um Rechtschreibung sondern um das iPhone. Nachdem Du behauptest, dass Du diese Sicherheitslücke auf deinem iPhone reproduzieren kannst, wäre es nun doch sehr wichtig, dass Du endlich das dazu passende Video rausrückst.

    Denn „Scharfe und unscharfe SSSSS“ sind komplett ungefährlich, aber eine iPhone Sicherheitslücke nicht. Bei deinem Beruf ist das doch sogar „Pflicht“ – und Du kannst dir auch noch fett Lorbeeren abholen, wenn Du der Welt diese schwere Sicherheitslücke zeigst!!!

    Los, los. Oder hängst Du doch lieber in Formen oder Kommentarfeldern rum und kämpfst für die richtige Anwendung von „das“ und „dass“. Also gib Gas! Du bist der Technikwelt das Beweisvideo schuldig!!1

  12. Ich hab eben einfach Tesafilm um meinen Daumen geklebt und es versucht, da ich auch skeptisch war und nach dem 4 Versuch, hats auch bei mir geklappt. Man muss das timing ziemlich gut hinbekommen, aber es geht. Das ist schon krass!

  13. @Alle Trolls und Helden. Also unter der von Sascha im Artikel zitierten Quelle steht nun das hier:

    UPDATE: According to a published report on Monday, this glitch in iOS 8 has turned out to be a fake. What is really happening is that Touch ID is being activated with a slight press of the home button. This also explains why the so-called glitch only worked occasionally.

    Ich warte immer noch auf Videos – mit und ohne Tesafilm um den Daumen und wenn es geht mit einem bisschen „scharfen ß“ noch dabei.

    Danke.

  14. Sollen doch die Trolle bitte den Gegenbeweis antreten, statt hier rumzumaulen. Jon ist hier sicherlich niemandem was schuldig. Das Video ist oben, schaut es euch an und verstummt. Es wurde gebeten dazu Feedback zu geben, was er auch gemacht hat. Was soll der Bullshit mit dem Video dazu? Trollt euch einfach in eueren Keller zurück… *facepalm*

  15. @BHVler

    Damit auch Du es verstehst: Bei dem im Artikel gezeigten Video handelt es sich um einen Fake. Das steht fest. Darum sind ja neue Videos so wichtig, die eben beweisen, dass es kein Fake ist.

    Übrigens: Fake ist Neudeutsch und heisst in diesem Falle ungefähr: „Dem-wo-du-da-in-die-video-sehen-tust-is-gar-net-echt. ist krasse Verarschung, weisst Du,“? 🙂

  16. Ich checks nachher nochmal, vielleicht hab ich mich einfach geirrt

  17. Jon 29. September 2014 um 09:39 Uhr
    Hat bei mir beim ersten Versuch funktioniert.

    Jon 29. September 2014 um 10:01 Uhr
    @Iguana,
    nein, sorry. Probier es selber aus. Ich habe einen Finger zum Drücken benutzt, der nicht eingespeichert ist und es geht einwandfrei. Man muss genau dann drücken, wenn alle Wörter im Display stehen. Aber wir werden die Tage sicher genug Beweisvideos sehen.

    Jon 29. September 2014 um 11:52 Uhr
    Ich checks nachher nochmal, vielleicht hab ich mich einfach geirrt

    Du merkst es selber oder?

  18. Kann passieren, nä? 😉

  19. @Jon. Nein. So was kann nicht passieren, sowas passiert ganz bewusst!!!

    Schöne Grüße an die Hightech-Agency in Berlin Mitte!

  20. soll jetzt kein apple bashing sein, aber man hat schon den subjektiven eindruck, dass bei großen Android oder win phone releasen um einiges weniger in die binsen geht.
    imho liegts daran, dass SW und HW release an den selben fixen termin gebunden sind und alle features meist auch zu diesem termin drin sein müssen. bei android liefert man features auch gerne mal mit kleineren releasen nach.

  21. Was ist mit dir? Hast du dich nicht im Griff oder so?

  22. @Jon Die Sache ist doch klar wie ein „Senior Developer“.

    Erst sagst Du, dass Du den Bug reproduziert hast, dann kommt raus es ist ein Fake und du bist immer noch nicht ganz still in der Ecke und sagst: „Na ja, ich gebs ja zu. Ich hab hier sinnlos rumgetrollt“. Ziemlich einfach eigentlich…

  23. Ich hab gesagt ich checks nachher noch einmal, ich habs vorhin nebenbei ausprobiert und hatte da den Eindruck, dass es funktioniert. Kann aber sein (und scheint ja so), dass ich mich geirrt habe. Ich wolte ganz sicher niemanden „trollen“. Sorry, dass ich nicht 100% meiner Konzentration darauf verwendet habe ;-))) Du wirst es hoffentlich überleben??

  24. @Jon.

    Deine Message war: „Hat bei mir beim ersten Versuch funktioniert.“
    Das ist unmissverständlich eine klare Aussage.

    Schon schade, wie sich so Kommentarfelder, also „Quasi-Foren“, in den letzten Jahren entwickelt haben… Grade hier in diesem wunderschönen Blog leiden ganz sicher nicht nur die Autoren ob dieses Umstands…

  25. Du hast mich getrollt und warst noch der festen Meinung dass Du im Recht bist 🙁 Ich bin tiefst verletzt!

  26. @Nasi Goreng,

    aha, dann ist also


    Nasi Goreng 29. September 2014 um 10:32 Uhr
    @Jon Loser!

    für dich eine bessere Entwicklung als – Fehler machen, Fehler einsehen, Entschuldigen -?
    Soso

  27. @Jon

    Na logn ist das besser. Um Welten sogar. Darum hier gerne nochmal: „Loser!“

  28. Übrigens ein wunderbarer Thread hier.

    Gefällt mir so gut, dass ich ihn gerade per geheimen Siri-Befehl via iPhone 6s (Touch ID aktiviert natürlich) in riesigen Buchstaben auf das Haus gegenüber in echter Farbe hab pinseln lassen.

    Video oder Foto kriegt ihr aber nicht davon!

  29. Das Verhalten von Nasi Goreng ist für mich auch unterste Schublade.
    Er kommt mir sehr besserwisserisch, rechthaberisch und beleidigend vor. Und wenn er merkt, dass er (wahrscheinlich) im Recht ist, dann nutzt er das aus, um andere User unnötiger- und sinnloserweise zu trollen.

  30. Softwarequalität am Limit 😀 Apple rly ….

  31. @Sven. Klar und ich habe ja auch Besserung gelobt und mich mittels iPhone 7e und Siri (Ist in Siri derzeit eigentlich nicht Krieg?) von Nasi in Bambi Goreng konvertiert, denn ich möchte auch Dir ein Vorbild sein!

  32. Was für persönliche Komplexe hier ein paar Fanboys zu haben scheinen, wenn man ihr geliebtes Telefon oder die Software auch nur im Ansatz kritisieren könnte.
    Ich würde da mal mit zum Arzt gehen an eurer Stelle.

  33. Dass der Nasi / Bami nicht bissig ist, das kann man nicht verleugnen. Ich würde das aber eher konsequent, denn trollig nennen.

    Die Unverbindlichkeit und Frechheit, die sonst im Netz Einzug gehalten hat, kann vielleicht nur in dieser Weise begegnet werden …

    Best regards 😉

  34. So, komplett durchgelesen eure Beiträge. Besser kann jawohl eine Mittagspause nicht laufen. Sven, ich finde nicht dass Nasi Goreng so rüberkommt wie Du ihn beschreibst. Und unterste Schublade ist mal auch was anderes.

    Mir kommt eher Jon ein wenig besserwisserisch herüber. Schon alleine wie er Iguana belehrte. Ebenso fande ich ihn rechthaberisch, da er nach seinem ersten Trollversuch nicht von seiner Meinung abgewichen ist. Und dann der Vergleich mit anderen Personen finde ich schon eher beleidigend. Er kennt ihn doch gar nicht.

    Die einzigen Sinnvollen Kommentare, neben meinen natürlich, kommen alleine von Nasi Goreng und Iguana, da sie nicht blind sind. Da kann ich ein „Loser“ voll und ganz nachvollziehen. Nasi Goreng’s Anmerkung zum Blog, dass nicht nur die Beiträge, sondern auch die Authoren darunter leiden stimme ich voll zu. Selbst hier wird nur noch spekuliert, nachgeeifert und kritisiert ohne die Basis zu kennen oder zu verstehen.

    Wenn ihr euer iPhone 4,5 und 6 für 2 Minuten auf einen Hildegard Orgonakkumulator legt, umgeht man damit auch die Passcode-Eingabe. Wenn ihr weitere 5 Minuten wartet, wird automatisch der Download für iOS 9 gestartet. – Ich glaube bei der News wird Jon auch noch schreiben: Beim ersten Versuch hat es geklappt. You made my Day. So, nun habe ich aber genug gelacht. Bis dann 🙂

  35. @Jon
    Habs gerade bei dem iPhone von nem Freund getestet. Ging wirklich und TouchID war nicht aktiviert. Nehme alle Anschuldigungen zurück.

  36. Klappt nicht! Aber ich hab einen anderen Glitch entdeckt. Wenn ihr euer iPhone 4,5 oder 6 mit iOS 8.0.2 auf einen Hildegard Orgonakkumulator für 2 Minuten legt, wird der Passcode auch umgangen. Für weitere 3 Minuten auf dem Gerät startet das neue iOS 9 Developer Update. Testet es aus. Es geht wirklich!

  37. @2:22
    Haha. Er hat seinen Daumen auf Touch ID und wundert sich warum es entsperrt. Was für einen Null-Story mal wieder.

  38. Der Nasi Goreng von 13.16 Uhr ist nicht der bambi Goreng, sondern vermutlich der Jon.

    Womit wir beim absoluten Höhepunkt dieses Threads angekommen wären. Kann man im Prinzip jetzt dicht machen…

  39. Ach, was soll’s. TouchID ist ja eh nicht besonders sicher, sofern man den Besitzer kennt oder Abdrücke auf dem Gerät selbst findet, kann man den Fingerabdruck mit Haushaltsmitteln nachmachen. Aber es ist eben eine Alternative zur Eingabe eines PIN-Codes in der Öffentlichkeit, wo das eh jeder sieht.

    Aber hier hat sich schon das Kompetenzzentrum des Internets aufgebaut. Hier wird dementiert, ohne überhaupt was getestet zu haben. Groß ausgelacht, ohne überhaupt erstmal abzuwarten, ob es sich bestätigt. Leute angemault, sie sollen doch erstmal ein Beweisvideo machen, sie wären dem Internet das schuldig und ohne Apple zu beleidigen geht mal gar nicht. Der nächste sieht gleich einen Apple-Android-Gewitter aufziehen.

    Das in diesem Blog gern mal schnell und unsachlich Quellen weiterverbreitet werden, nur um unter den ersten zu sein, dürfte eh klar sein. Mal ganz zu schweigen von der Artikelqualität mancher Autoren. Wenn ich so in den Kalender schau, dürfte mal wieder ein „Oh, Samsung oder Microsoft hat mal wieder ein peinliches Video gemacht und eigentlich ist es total unnötig, aber wir posten es trotzdem“ dran sein.

  40. Die ursprungliche Quelle aus der Presse scheint wohl Gizmodo zu sein, inklusive ihrem, nicht ganz bestätigtem Dementi: „Alleged iOS 8 Passcode Bypass Appears to Be Bogus (Updated)“ http://gizmodo.com/ios-8-security-flaw-makes-it-possible-to-bypass-touch-i-1640152643/all

    After further testing, we’ve determined that this is almost definitely just Touch ID registering the thumbprint on a hair trigger.

  41. @Sepp

    +1

  42. @Mike @Sepp @wefe Info für euch alle:
    Ich hätte genau gleich reagiert, wenn das Fake-Video ein Android-Phone zeigen würde!

  43. Unter Android klappt es zwar nicht ganz, jedoch gibt „OK Google“ einem die Möglichkeit, Anrufe zu tätigen, SMS zu versenden und ein paar andere Dinge, wenn man die Hotword-Erkennung auf auf dem Lockscreen hat.

  44. @Marc R.
    Was ja auch erwünscht ist. Man könnte höchstens kostenplfichtige Nummern filtern, sofern das nicht eh passiert. Was Google Now wohl besser kann, ist, dass man seine Stimme trainieren kann und er nicht mehr auf Fremde reagiert. Habe ich aber noch nicht probiert. Wirklich sicher ist das aber auch nicht, wenn jemand deine Stimme aufnimmt.

  45. Was ist denn das für ein Kindergarten hier in dem Kommentaren? Hat jemand Popcorn? Wobei…nach dem 4. oder 5. nervigen Goreng-„Kommentar“ habe ich aufgehört zu lesen…

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.