Wie CNET kürzlich berichtete, hat ein kanadischer Technik-Berater namens Ade Barkah einen Bug in iOS 5 entdeckt, dessen Missbrauch den Zugriff auf die Bilder eines an sich gesperrten iPhones zulässt: Es muss hierzu lediglich das Datum zurückgesetzt werden.

Bei einem iOS-5-basierten iPhone kann man normalerweise auch dann auf die Kamera zugreifen, wenn das Smartphone gesperrt ist. Dazu muss lediglich zweimal auf Home-Button gedrückt werden. Wenn man aber die Fotogalerie anschauen will, wird dies mit einer Nachricht quittiert, dass man das iPhone erst entsperren muss, um alle Fotos und Videos anschauen zu können.

Wenn aber auf irgendeinem Weg das Datum in den Einstellungen auf einen Punkt in der Vergangenheit zurückgesetzt wird, kann man später auch bei gesperrtem iPhone alle Fotos betrachten, die seit diesem Zeitpunkt gemacht wurden.

Per se erscheint die Schwachstelle wenig dramatisch, da die meisten iPhone-User die Uhrzeit automatisch einstellen lassen. Wo ist also das Problem? Laut Barkah kann es schon beim Reisen zwischen verschiedenen Zeitzonen problematisch werden, wenn Zeit und Datum unbeabsichtigt falsch gesetzt oder aufgrund technischer Probleme gar nicht angepasst werden.

Und natürlich ist auch ein Soft- oder Hardwarefehler des iPhone selbst denkbar, der die Uhr auf die "Nullzeit" – Mitternacht am 1. Januar 2001 – verstellt. In einem solchen Fall wäre dann der Zugriff auf sämtliche auf dem Gerät gespeicherten Fotos machbar.

Drittens sei auch ein Infrastruktur-Fehler denkbar, wenn das iPhone beispielsweise seinen Zeit-Datum-Stempel automatisch mit einer fehlerhaften externen Quelle – typischerweise dem Mobilfunkanbieter – synchronisiert. Viertens könne man auch Apps – und damit Malware – nicht als Fehlerquelle ausschließen, die die Uhrzeit verstellen.

"Apple sollte den Zugriff auf die Bilder nicht auf einer einfachen Datumsabfrage abhängig machen", resümiert Barkah. "Eine Änderung an der Uhrzeit des iPhones – in die Zukunft oder die Vergangenheit – sollte nicht die Gerätesicherheit beeinträchtigen. Wir können nicht garantieren, dass die Uhrzeit gleichbleibend voranschreitet – und wenn das nicht der Fall ist, sollte das System sicher sein."

Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.