News vom 13.06.2018

iOS: Siri-Vorschläge anfällig für Manipulation

Ein Artikel von , veröffentlicht am 13.06.2018

Die automatischen Kontaktvorschläge von Apples Assistent „Siri“ lassen sich durch einfache Tricks für Manipulationen nutzen. Betrüger können Siri zum Beispiel dazu bringen, eine fremde Telefonnummer mit dem Namen eines Vorgesetzten zu verknüpfen. Ein anschließender Phishing-Angriff ist dann schwer zu erkennen.

Die Vorschlagsfunktion von Siri ist anfällig für Phishing-Tricks. Das beschreibt der Journalist Robert Hackett vom US-Magazins Fortune. Wandera, ein IT-Sicherheits-Startup, hat Hackett auf diese Manipulationsmöglichkeit aufmerksam gemacht.

Siri sucht nach Verknüpfungen

Mit der Vorschlagsfunktion für neue Kontakte will Apple es seinen Nutzern besonders leicht machen: Ist sie aktiv, durchsucht Siri den Inhalt von Nachrichten oder E-Mails aus Apples Mail-App nach Hinweisen auf die Identität des Absenders.

Findet Siri zum Beispiel eine Telefonnummer in einer E-Mail, vermutet der Assistent, dass diese Telefonnummer zur Absender-Adresse gehört. Findet sie einen Namen in einer SMS, stellt Siri eine Verknüpfung zwischen Name und Telefonnummer des Absenders her. Immer dann, wenn Siri so eine Kontaktinformation erkennt, erscheint die Anzeige: „Siri hat neue Kontaktinfos gefunden“.

"Vielleicht: Angela Merkel"

Erhält man dann von diesem Absender erneut eine Nachricht, so zeigt Siri die vorher gemachte Verknüpfung an.

In unserem Praxistest stellte sich die Funktion zum Beispiel so dar: Wir sendeten von einem Android-Gerät eine SMS an ein iOS-Testhandy. Der Text lautete „Hallo. Hier ist Stefan“. Danach riefen wir das iPhone vom selben Android-Gerät an. Nun erschien auf dem iPhone unterhalb der Anrufer-Nummer die Information „Vielleicht: Stefan“.

Das funktionierte nicht, als wir uns mit einem anderem Testgerät als „Deutsche Bank“ ausgaben, er funktionierte aber problemlos mit einer angeblichen Nachricht von Angela Merkel.

Vorschlagsfunktion lässt sich ausnutzen

Missbrauchen lässt sich die Möglichkeit für sogenanntes Phishing. Konkret könnten Betrüger dem Opfer eine SMS schicken, die zum Beispiel den Namen eines Vorgesetzten enthält, oder nahelegt, dass es sich um die Buchhaltung oder IT-Abteilung handelt. Siri würde die Telefonnummer des Angreifers dann mit diesen Informationen verknüpfen.

Die nächste Nachricht oder ein folgender Anruf von dieser Nummer wirkt dann vertrauenswürdig. Fordert der Betrüger sein Opfer in dieser Nachricht oder in diesem Telefongespräch auf, Zugangsdaten preiszugeben, sind die Erfolgsaussichten relativ hoch.

Laut Wandera funktioniert der Trick in den meisten Fällen. Nur wenige Begriffe wie „Bank“ seien für die Erzeugung von Kontaktvorschlägen ausgeschlossen.

Bei E-Mails reagiert Siri allerdings erst, wenn der Empfänger einmal geantwortet hat. Dabei könne es sich, so Wandera, jedoch auch um eine automatisierte Antwort handeln, etwa eine Abwesenheits-Benachrichtigung, weil der Nutzer im Urlaub ist.

Misstrauen schützt vor Phishing

Gegen eine solche Masche und ihr Missbrauchspotenzial schützt vor allem eine gesunde Portion Misstrauen. Erhalten Sie unerwartet die Aufforderung, am Telefon oder auf einer Webseite Zugangsinformationen anzugeben? Dann schauen Sie zweimal hin, ob es sich nicht vielleicht um einen Betrugsversuch handelt.

Wenn Ihnen die stets spekulativen Kontaktvorschläge von Siri gar nicht geheuer sind, können Sie sie auch komplett deaktivieren. Das geht über den Navigationspfad Einstellungen > Kontakte > Siri & Suchen > In anderen Apps suchen. Den Schieberegler bewegen Sie von rechts (aktiv) nach links (inaktiv).

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

Apps manuell installieren: Keine Angst vor unbekannten Quellen

Die „Installation aus unbekannten Quellen“ bei Android-Geräten bietet Chancen und Gefahren. Obwohl sie standardmäßig deaktiviert sein sollte, ist eine Aktivierung in Ausnahmefällen sinnvoll. Was unbekannte Quellen sind und wie sie sicher genutzt werden können, erklären wir hier.

Mehr
Ratgeber 

Android-Apps ersetzen: Messenger und Videochat

Der Facebook-Messenger, WhatsApp und Skype sind auf vielen Android-Geräten vorinstalliert. In Sachen Datenschutz sind diese Dienste allerdings längst nicht die beste Wahl. Die gute Nachricht: Es gibt gleich mehrere empfehlenswerte Alternativen.

Mehr
YouTube-Video 

Diese Stimmgeräte-App empfehlen wir (Android)

Android-Nutzer, die ihr Musikinstrument mit einer App stimmen möchten, werden im Google PlayStore mit einer ermüdend langen Liste an Apps konfrontiert. Wir haben Ihnen die Arbeit abgenommen und stellen in diesem Video die App "Stimmgerät Instrument Tuner" vor. Sie funktioniert nicht nur hervorragend, sondern ist auch tracking- und werbefrei.

Ansehen
Ratgeber 

Neues Handy kaufen? Achten Sie auf „Project Treble“

Mit der Android-Version 8 hat Google das sogenannte "Project Treble" eingeführt. Damit sollen Smartphones ihre Updates schneller und länger bekommen. Wir haben aufgelistet, welche Geräte die wichtige neue Funktion mitbringen - und welche nicht.

Mehr