News vom 13.06.2018

iOS: Siri-Vorschläge anfällig für Manipulation

Ein Artikel von , veröffentlicht am 13.06.2018

Die automatischen Kontaktvorschläge von Apples Assistent „Siri“ lassen sich durch einfache Tricks für Manipulationen nutzen. Betrüger können Siri zum Beispiel dazu bringen, eine fremde Telefonnummer mit dem Namen eines Vorgesetzten zu verknüpfen. Ein anschließender Phishing-Angriff ist dann schwer zu erkennen.

Die Vorschlagsfunktion von Siri ist anfällig für Phishing-Tricks. Das beschreibt der Journalist Robert Hackett vom US-Magazins Fortune. Wandera, ein IT-Sicherheits-Startup, hat Hackett auf diese Manipulationsmöglichkeit aufmerksam gemacht.

Siri sucht nach Verknüpfungen

Mit der Vorschlagsfunktion für neue Kontakte will Apple es seinen Nutzern besonders leicht machen: Ist sie aktiv, durchsucht Siri den Inhalt von Nachrichten oder E-Mails aus Apples Mail-App nach Hinweisen auf die Identität des Absenders.

Findet Siri zum Beispiel eine Telefonnummer in einer E-Mail, vermutet der Assistent, dass diese Telefonnummer zur Absender-Adresse gehört. Findet sie einen Namen in einer SMS, stellt Siri eine Verknüpfung zwischen Name und Telefonnummer des Absenders her. Immer dann, wenn Siri so eine Kontaktinformation erkennt, erscheint die Anzeige: „Siri hat neue Kontaktinfos gefunden“.

"Vielleicht: Angela Merkel"

Erhält man dann von diesem Absender erneut eine Nachricht, so zeigt Siri die vorher gemachte Verknüpfung an.

In unserem Praxistest stellte sich die Funktion zum Beispiel so dar: Wir sendeten von einem Android-Gerät eine SMS an ein iOS-Testhandy. Der Text lautete „Hallo. Hier ist Stefan“. Danach riefen wir das iPhone vom selben Android-Gerät an. Nun erschien auf dem iPhone unterhalb der Anrufer-Nummer die Information „Vielleicht: Stefan“.

Das funktionierte nicht, als wir uns mit einem anderem Testgerät als „Deutsche Bank“ ausgaben, er funktionierte aber problemlos mit einer angeblichen Nachricht von Angela Merkel.

Vorschlagsfunktion lässt sich ausnutzen

Missbrauchen lässt sich die Möglichkeit für sogenanntes Phishing. Konkret könnten Betrüger dem Opfer eine SMS schicken, die zum Beispiel den Namen eines Vorgesetzten enthält, oder nahelegt, dass es sich um die Buchhaltung oder IT-Abteilung handelt. Siri würde die Telefonnummer des Angreifers dann mit diesen Informationen verknüpfen.

Die nächste Nachricht oder ein folgender Anruf von dieser Nummer wirkt dann vertrauenswürdig. Fordert der Betrüger sein Opfer in dieser Nachricht oder in diesem Telefongespräch auf, Zugangsdaten preiszugeben, sind die Erfolgsaussichten relativ hoch.

Laut Wandera funktioniert der Trick in den meisten Fällen. Nur wenige Begriffe wie „Bank“ seien für die Erzeugung von Kontaktvorschlägen ausgeschlossen.

Bei E-Mails reagiert Siri allerdings erst, wenn der Empfänger einmal geantwortet hat. Dabei könne es sich, so Wandera, jedoch auch um eine automatisierte Antwort handeln, etwa eine Abwesenheits-Benachrichtigung, weil der Nutzer im Urlaub ist.

Misstrauen schützt vor Phishing

Gegen eine solche Masche und ihr Missbrauchspotenzial schützt vor allem eine gesunde Portion Misstrauen. Erhalten Sie unerwartet die Aufforderung, am Telefon oder auf einer Webseite Zugangsinformationen anzugeben? Dann schauen Sie zweimal hin, ob es sich nicht vielleicht um einen Betrugsversuch handelt.

Wenn Ihnen die stets spekulativen Kontaktvorschläge von Siri gar nicht geheuer sind, können Sie sie auch komplett deaktivieren. Das geht über den Navigationspfad Einstellungen > Kontakte > Siri & Suchen > In anderen Apps suchen. Den Schieberegler bewegen Sie von rechts (aktiv) nach links (inaktiv).

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

Ratgeber 

So richten Sie eine sichere Bildschirmsperre ein (Android)

Die Bildschirmsperre ist für ein Mobilgerät, was die Haustür für ein Haus ist. Sie sollte niemals fehlen und nur mit einem Schlüssel zu öffnen sein. Wie Sie Ihr Gerät für Andere unzugänglich machen, zeigen wir hier Schritt für Schritt.

Mehr
Ratgeber 

Apps gecheckt: Wenn Dritte mitlesen, was du shoppst (Android)

Shopping-Apps erfassen häufig den Standort, eindeutige Geräte-IDs und sämtliche Suchbegriffe. Wohin versenden sie diese Informationen? Wir haben die Apps großer deutscher Baumärkte und die IKEA-App geprüft.

Mehr
Ratgeber 

Verschlüsselte Messenger: Wire, Hoccer, Kontalk

Schnell mal eine Nachricht an Freunde und Bekannte schicken? Leicht gemacht, mit Instant Messengern. Dabei muss es schon lange nicht mehr WhatsApp sein. Hier stellen wir weitere sichere Messenger mit interessanten Features vor, die noch nicht so bekannt sind.

Mehr
Ratgeber 

„Der Messenger funktioniert auf Wunsch komplett anonym“

Würden Sie in Ihrer Wohnung eine Kamera aufstellen, die angezapft werden kann? Falls nicht, sollten Sie sich auch von unsicheren Messengern trennen, sagt Roman Flepp. Er arbeitet für die Schweizer Threema GmbH, die seit 2012 privatsphärefreundliche Chat-Apps für Android und iOS entwickelt.

Mehr