Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
News vom 13.06.2018

iOS: Siri-Vorschläge anfällig für Manipulation

Ein Artikel von Stefan Mey, veröffentlicht am 13.06.2018

Die automatischen Kontaktvorschläge von Apples Assistent „Siri“ lassen sich durch einfache Tricks für Manipulationen nutzen. Betrüger können Siri zum Beispiel dazu bringen, eine fremde Telefonnummer mit dem Namen eines Vorgesetzten zu verknüpfen. Ein anschließender Phishing-Angriff ist dann schwer zu erkennen.

Die Vorschlagsfunktion von Siri ist anfällig für Phishing-Tricks. Das beschreibt der Journalist Robert Hackett vom US-Magazins Fortune. Wandera, ein IT-Sicherheits-Startup, hat Hackett auf diese Manipulationsmöglichkeit aufmerksam gemacht.

Siri sucht nach Verknüpfungen

Mit der Vorschlagsfunktion für neue Kontakte will Apple es seinen Nutzern besonders leicht machen: Ist sie aktiv, durchsucht Siri den Inhalt von Nachrichten oder E-Mails aus Apples Mail-App nach Hinweisen auf die Identität des Absenders.

Findet Siri zum Beispiel eine Telefonnummer in einer E-Mail, vermutet der Assistent, dass diese Telefonnummer zur Absender-Adresse gehört. Findet sie einen Namen in einer SMS, stellt Siri eine Verknüpfung zwischen Name und Telefonnummer des Absenders her. Immer dann, wenn Siri so eine Kontaktinformation erkennt, erscheint die Anzeige: „Siri hat neue Kontaktinfos gefunden“.

"Vielleicht: Angela Merkel"

Erhält man dann von diesem Absender erneut eine Nachricht, so zeigt Siri die vorher gemachte Verknüpfung an.

In unserem Praxistest stellte sich die Funktion zum Beispiel so dar: Wir sendeten von einem Android-Gerät eine SMS an ein iOS-Testhandy. Der Text lautete „Hallo. Hier ist Stefan“. Danach riefen wir das iPhone vom selben Android-Gerät an. Nun erschien auf dem iPhone unterhalb der Anrufer-Nummer die Information „Vielleicht: Stefan“.

Das funktionierte nicht, als wir uns mit einem anderem Testgerät als „Deutsche Bank“ ausgaben, er funktionierte aber problemlos mit einer angeblichen Nachricht von Angela Merkel.

Vorschlagsfunktion lässt sich ausnutzen

Missbrauchen lässt sich die Möglichkeit für sogenanntes Phishing. Konkret könnten Betrüger dem Opfer eine SMS schicken, die zum Beispiel den Namen eines Vorgesetzten enthält, oder nahelegt, dass es sich um die Buchhaltung oder IT-Abteilung handelt. Siri würde die Telefonnummer des Angreifers dann mit diesen Informationen verknüpfen.

Die nächste Nachricht oder ein folgender Anruf von dieser Nummer wirkt dann vertrauenswürdig. Fordert der Betrüger sein Opfer in dieser Nachricht oder in diesem Telefongespräch auf, Zugangsdaten preiszugeben, sind die Erfolgsaussichten relativ hoch.

Laut Wandera funktioniert der Trick in den meisten Fällen. Nur wenige Begriffe wie „Bank“ seien für die Erzeugung von Kontaktvorschlägen ausgeschlossen.

Bei E-Mails reagiert Siri allerdings erst, wenn der Empfänger einmal geantwortet hat. Dabei könne es sich, so Wandera, jedoch auch um eine automatisierte Antwort handeln, etwa eine Abwesenheits-Benachrichtigung, weil der Nutzer im Urlaub ist.

Misstrauen schützt vor Phishing

Gegen eine solche Masche und ihr Missbrauchspotenzial schützt vor allem eine gesunde Portion Misstrauen. Erhalten Sie unerwartet die Aufforderung, am Telefon oder auf einer Webseite Zugangsinformationen anzugeben? Dann schauen Sie zweimal hin, ob es sich nicht vielleicht um einen Betrugsversuch handelt.

Wenn Ihnen die stets spekulativen Kontaktvorschläge von Siri gar nicht geheuer sind, können Sie sie auch komplett deaktivieren. Das geht über den Navigationspfad Einstellungen > Kontakte > Siri & Suchen > In anderen Apps suchen. Den Schieberegler bewegen Sie von rechts (aktiv) nach links (inaktiv).

Artikel drucken:

Beitrag teilen:

Weitere Artikel

Ratgeber 

Wie viel Google steckt in Android?

Das Betriebssystem Android und der Google-Konzern gehören zusammen. Google beschreibt Android jedoch als „freie“ Software, bei der jeder den Programmcode nutzen und verändern darf. Wem also gehört Android? Und wer bestimmt, was im Code steht?

Mehr Ratgeber 

Android ohne Google

Google und Android, das gehört eng zusammen. Googles Dienste und Apps sind fest in das Betriebssystem integriert. Und viele Android-Nutzer haben für ihr Gerät ein Google-Konto eingerichtet. Was aber, wenn man Android ohne die Google-Dienste nutzen möchte?

Mehr Ratgeber 

Sicher ins neue Jahr: 4 Tipps fürs iPhone

Überprüfen, was Ihr iPhone unbemerkt im Hintergrund tut - das wollten Sie schon lange mal? Der Start ins Jahr 2021 ist ein guter Anlass! Mit unseren vier Tipps sind die wichtigsten Punkte schnell abgehakt.

Mehr Ratgeber 

Handy für Kinder einrichten (Android)

Wenn ein Kind sein erstes eigenes Smartphone bekommen soll, tun sich für Eltern viele Fragen auf. Mit unseren Tipps werden die Weichen in Sachen Privatsphäre gleich richtig gestellt.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

info@ituj.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Träger

Impressum Datenschutz