Der Sperrbildschirm von iOS war in der Vergangenheit regelmäßig Gesprächsthema. Der Grund: Man konnte ohne Eingabe der PIN, des Fingerabdrucks oder des Passwortes an sensible Daten gelangen. In der Regel mussten hierfür teils verrückte Tastenkombinationen und Aktionen durchgeführt werden. Jetzt scheint sich bei den Vorabversionen von iOS 9 auf dem iPad ein neuer Fehler eingeschlichen zu haben, den man jedoch relativ leicht ausnutzen kann. Im schlimmsten Fall können dadurch (mal wieder) Informationen ausgelesen oder der Wecker von Fremden eingestellt werden.
Kamera-App und Multitasking-Gesten als Türöffner
Die Kamera ist bei der neuen Lücke Mittel zum Zweck. Sie ist auf allen iOS-Geräten vom Sperrbildschirm aufrufbar und man kann sie dort auch nicht wirklich deaktivieren – höchstens über die Einschränkungen. Aber das ist nicht komfortabel und nutzt daher kaum jemand. Wenn zusätzlich jetzt noch die Multitasking-Gesten am iPad aktiviert sind (und das sind sie standardmäßig), ist alles angerichtet: Man muss lediglich im gesperrten Zustand die Kamera öffnen und die Geste zum Schließen einer App anwenden (4 oder 5 Finger zusammenziehen). Mit ein wenig Glück (oder Können) schließt sich dann die Kamera und die zuletzt genutzte App erscheint ganz kurz. Ich habe die Erfahrung gemacht, dass das (glücklicherweise) nur für einen bestimmten Zeitraum möglich ist.
Im Folgenden demonstriere ich das ganze Szenario mit der Notizen-Anwendung – dort werden schließlich gerne mal wichtige Daten (z.B. Login-Daten) hinterlegt. Wer das abfilmt (wie ich hier), kann einfach die entsprechende Stelle anhalten und die Informationen auslesen – sofern sie zuletzt sichtbar waren.
Das Kontrollzentrum war in diesem Fall übrigens im gesperrten Zustand deaktiviert, Siri sogar komplett und das Gerät mit einer PIN versehen.
Wecker-App komplett steuerbar
Alles nur halb so wild, könnte man meinen. Schließlich basiert das oben schon auf Zufällen und ein wenig Glück. Mir hat das keine Ruhe gelassen und ich habe weiter probiert: Letztendlich konnte ich im gesperrten Zustand (PIN) ohne das Kontrollzentrum (deaktiviert) und ohne Siri (komplett deaktiviert) die App “Uhr” komplett steuern – also auch den Wecker und den Timer. Die Vorgehensweise ist identisch mit der von oben. Einziger Unterschied: Es funktioniert immer, nicht nur für einen kurzen Zeitraum.
Gerade die zuletzt von mir vorgestellte Problematik ist realistisch. Viele deaktivieren nicht ohne Grund Siri und das Kontrollzentrum im Sperrbildschirm. Wenn diese Personen sich jetzt schlafen legen und noch kurz den Wecker einstellen (also die zuletzt verwendete Anwendung die Uhr ist), kann man da böse Streiche mit spielen.
Durchgeführt habe ich alles mit der neusten Version des Betriebssystems – also iOS 9 Public Beta 3 beziehungsweise Beta 5 mit einem iPad Air der ersten Generation. Die zweite öffentliche Beta beinhaltete den Fehler auf jeden Fall auch schon. Mit einem identischen Gerät und iOS 8 konnte ich das Phänomen nicht reproduzieren.
Das Problem ist keineswegs kritisch, für mich aber doch wichtig und sollte von Apple bis zur finalen Version von iOS 9 behoben werden. Es kann nicht angehen, dass man irgendwas mit meinem Gerät machen kann, wenn es gesperrt ist und ich das nicht will.
Update September 2015: Auf einem anderen iPad Air der ersten Generation konnte ich das Problem mit der finalen Version von iOS 9 reproduzieren. Zudem besteht der Bug auch noch in der ersten Beta-Version von iOS 9.1.
