News vom 13.06.2018

iOS: Siri-Vorschläge anfällig für Manipulation

Ein Artikel von , veröffentlicht am 13.06.2018

Die automatischen Kontaktvorschläge von Apples Assistent „Siri“ lassen sich durch einfache Tricks für Manipulationen nutzen. Betrüger können Siri zum Beispiel dazu bringen, eine fremde Telefonnummer mit dem Namen eines Vorgesetzten zu verknüpfen. Ein anschließender Phishing-Angriff ist dann schwer zu erkennen.

Die Vorschlagsfunktion von Siri ist anfällig für Phishing-Tricks. Das beschreibt der Journalist Robert Hackett vom US-Magazins Fortune. Wandera, ein IT-Sicherheits-Startup, hat Hackett auf diese Manipulationsmöglichkeit aufmerksam gemacht.

Siri sucht nach Verknüpfungen

Mit der Vorschlagsfunktion für neue Kontakte will Apple es seinen Nutzern besonders leicht machen: Ist sie aktiv, durchsucht Siri den Inhalt von Nachrichten oder E-Mails aus Apples Mail-App nach Hinweisen auf die Identität des Absenders.

Findet Siri zum Beispiel eine Telefonnummer in einer E-Mail, vermutet der Assistent, dass diese Telefonnummer zur Absender-Adresse gehört. Findet sie einen Namen in einer SMS, stellt Siri eine Verknüpfung zwischen Name und Telefonnummer des Absenders her. Immer dann, wenn Siri so eine Kontaktinformation erkennt, erscheint die Anzeige: „Siri hat neue Kontaktinfos gefunden“.

"Vielleicht: Angela Merkel"

Erhält man dann von diesem Absender erneut eine Nachricht, so zeigt Siri die vorher gemachte Verknüpfung an.

In unserem Praxistest stellte sich die Funktion zum Beispiel so dar: Wir sendeten von einem Android-Gerät eine SMS an ein iOS-Testhandy. Der Text lautete „Hallo. Hier ist Stefan“. Danach riefen wir das iPhone vom selben Android-Gerät an. Nun erschien auf dem iPhone unterhalb der Anrufer-Nummer die Information „Vielleicht: Stefan“.

Das funktionierte nicht, als wir uns mit einem anderem Testgerät als „Deutsche Bank“ ausgaben, er funktionierte aber problemlos mit einer angeblichen Nachricht von Angela Merkel.

Vorschlagsfunktion lässt sich ausnutzen

Missbrauchen lässt sich die Möglichkeit für sogenanntes Phishing. Konkret könnten Betrüger dem Opfer eine SMS schicken, die zum Beispiel den Namen eines Vorgesetzten enthält, oder nahelegt, dass es sich um die Buchhaltung oder IT-Abteilung handelt. Siri würde die Telefonnummer des Angreifers dann mit diesen Informationen verknüpfen.

Die nächste Nachricht oder ein folgender Anruf von dieser Nummer wirkt dann vertrauenswürdig. Fordert der Betrüger sein Opfer in dieser Nachricht oder in diesem Telefongespräch auf, Zugangsdaten preiszugeben, sind die Erfolgsaussichten relativ hoch.

Laut Wandera funktioniert der Trick in den meisten Fällen. Nur wenige Begriffe wie „Bank“ seien für die Erzeugung von Kontaktvorschlägen ausgeschlossen.

Bei E-Mails reagiert Siri allerdings erst, wenn der Empfänger einmal geantwortet hat. Dabei könne es sich, so Wandera, jedoch auch um eine automatisierte Antwort handeln, etwa eine Abwesenheits-Benachrichtigung, weil der Nutzer im Urlaub ist.

Misstrauen schützt vor Phishing

Gegen eine solche Masche und ihr Missbrauchspotenzial schützt vor allem eine gesunde Portion Misstrauen. Erhalten Sie unerwartet die Aufforderung, am Telefon oder auf einer Webseite Zugangsinformationen anzugeben? Dann schauen Sie zweimal hin, ob es sich nicht vielleicht um einen Betrugsversuch handelt.

Wenn Ihnen die stets spekulativen Kontaktvorschläge von Siri gar nicht geheuer sind, können Sie sie auch komplett deaktivieren. Das geht über den Navigationspfad Einstellungen > Kontakte > Siri & Suchen > In anderen Apps suchen. Den Schieberegler bewegen Sie von rechts (aktiv) nach links (inaktiv).

Geschrieben von

E-Mail

hinweis@mobilsicher.de

PGP-Key

0x3D753571A5FEF1F4

Fingerprint

89A8 1651 BB1F 49E0 7F6E 610D 3D75 3571 A5FE F1F4

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

Welche Apps helfen im Katastrophenfall?

Amoklauf in München, Sturmflut an der Nordseeküste, Gewitter in NRW oder Erdbeben in Nepal – in vielen Katastrophenfällen kommen mittlerweile Apps zum Einsatz. Doch es gibt keine, die alles kann.

Mehr
Google 

So löschen Sie Ihre Standortdaten bei Google

Google hat neue Funktionen angekündigt, mit denen NutzerInnen die beim IT-Konzern gespeicherten eigenen Daten automatisch löschen lassen können. Bis es soweit ist, muss man diesen Schritt noch von Hand vornehmen. Wie Sie die Löschoption für die Standortdaten finden, zeigen wir hier in einfachen Schritten.

Mehr
YouTube-Video 

Apps als .apk-Datei installieren

Üblicherweise kommen neue Apps per Google-Playstore oder über einen alternativen App-Store auf das Smartphone. Manchmal ist es aber nötig, eine App manuell zu installieren. Wir zeigen, was Sie dabei beachten sollten.

Ansehen
Google 

Welche Daten sammelt Google über mich?

Google ist einer der größten Datensammler weltweit. Doch was speichert der Konzern tatsächlich über uns? Und kann man der Sammlerei widersprechen? Darüber kursieren viele Gerüchte und Missverständnisse. Wir haben die wichtigsten Fakten zusammengestellt.

Mehr