News vom 13.06.2018

iOS: Siri-Vorschläge anfällig für Manipulation

Ein Artikel von , veröffentlicht am 13.06.2018

Die automatischen Kontaktvorschläge von Apples Assistent „Siri“ lassen sich durch einfache Tricks für Manipulationen nutzen. Betrüger können Siri zum Beispiel dazu bringen, eine fremde Telefonnummer mit dem Namen eines Vorgesetzten zu verknüpfen. Ein anschließender Phishing-Angriff ist dann schwer zu erkennen.

Die Vorschlagsfunktion von Siri ist anfällig für Phishing-Tricks. Das beschreibt der Journalist Robert Hackett vom US-Magazins Fortune. Wandera, ein IT-Sicherheits-Startup, hat Hackett auf diese Manipulationsmöglichkeit aufmerksam gemacht.

Siri sucht nach Verknüpfungen

Mit der Vorschlagsfunktion für neue Kontakte will Apple es seinen Nutzern besonders leicht machen: Ist sie aktiv, durchsucht Siri den Inhalt von Nachrichten oder E-Mails aus Apples Mail-App nach Hinweisen auf die Identität des Absenders.

Findet Siri zum Beispiel eine Telefonnummer in einer E-Mail, vermutet der Assistent, dass diese Telefonnummer zur Absender-Adresse gehört. Findet sie einen Namen in einer SMS, stellt Siri eine Verknüpfung zwischen Name und Telefonnummer des Absenders her. Immer dann, wenn Siri so eine Kontaktinformation erkennt, erscheint die Anzeige: „Siri hat neue Kontaktinfos gefunden“.

"Vielleicht: Angela Merkel"

Erhält man dann von diesem Absender erneut eine Nachricht, so zeigt Siri die vorher gemachte Verknüpfung an.

In unserem Praxistest stellte sich die Funktion zum Beispiel so dar: Wir sendeten von einem Android-Gerät eine SMS an ein iOS-Testhandy. Der Text lautete „Hallo. Hier ist Stefan“. Danach riefen wir das iPhone vom selben Android-Gerät an. Nun erschien auf dem iPhone unterhalb der Anrufer-Nummer die Information „Vielleicht: Stefan“.

Das funktionierte nicht, als wir uns mit einem anderem Testgerät als „Deutsche Bank“ ausgaben, er funktionierte aber problemlos mit einer angeblichen Nachricht von Angela Merkel.

Vorschlagsfunktion lässt sich ausnutzen

Missbrauchen lässt sich die Möglichkeit für sogenanntes Phishing. Konkret könnten Betrüger dem Opfer eine SMS schicken, die zum Beispiel den Namen eines Vorgesetzten enthält, oder nahelegt, dass es sich um die Buchhaltung oder IT-Abteilung handelt. Siri würde die Telefonnummer des Angreifers dann mit diesen Informationen verknüpfen.

Die nächste Nachricht oder ein folgender Anruf von dieser Nummer wirkt dann vertrauenswürdig. Fordert der Betrüger sein Opfer in dieser Nachricht oder in diesem Telefongespräch auf, Zugangsdaten preiszugeben, sind die Erfolgsaussichten relativ hoch.

Laut Wandera funktioniert der Trick in den meisten Fällen. Nur wenige Begriffe wie „Bank“ seien für die Erzeugung von Kontaktvorschlägen ausgeschlossen.

Bei E-Mails reagiert Siri allerdings erst, wenn der Empfänger einmal geantwortet hat. Dabei könne es sich, so Wandera, jedoch auch um eine automatisierte Antwort handeln, etwa eine Abwesenheits-Benachrichtigung, weil der Nutzer im Urlaub ist.

Misstrauen schützt vor Phishing

Gegen eine solche Masche und ihr Missbrauchspotenzial schützt vor allem eine gesunde Portion Misstrauen. Erhalten Sie unerwartet die Aufforderung, am Telefon oder auf einer Webseite Zugangsinformationen anzugeben? Dann schauen Sie zweimal hin, ob es sich nicht vielleicht um einen Betrugsversuch handelt.

Wenn Ihnen die stets spekulativen Kontaktvorschläge von Siri gar nicht geheuer sind, können Sie sie auch komplett deaktivieren. Das geht über den Navigationspfad Einstellungen > Kontakte > Siri & Suchen > In anderen Apps suchen. Den Schieberegler bewegen Sie von rechts (aktiv) nach links (inaktiv).

Geschrieben von

Stefan Mey

Stefan Mey ist freier Autor für verschiedene spezialisierte IT-Magazine und für die Technologie-Ressorts IT-ferner Medien. Er interessiert sich für die Auswirkungen von Technologie auf Alltag, Gesellschaft und Politik. Vor allem hält er es für wichtig, die sich überschlagenden Entwicklungen im mobilen Internet fundiert und kritisch zu begleiten. Bis November 2018 hat er das mobilsicher-Team als Redakteur unterstützt.

Weitere Artikel

YouTube-Video 

Apps gecheckt: Speed-Checker fürs WLAN

Langsames Internet? Apps zum Messen der WLAN-Geschwindigkeit helfen, dem Problem auf den Grund zu gehen. Wir haben die wichtigsten Speed-Checker geprüft, das Ergebnis: viel unnötige Datensammelei und zwei Apps, die erfreulich sauber sind.

Ansehen
Ratgeber 

PeerTube – das bessere YouTube?

Der Videodienst ist eine nichtkommerzielle Alternative zu YouTube. Statt eines zentralen Anbieters gibt es viele unabhängige PeerTube-Server, die miteinander kompatibel sind. Wir stellen den Dienst vor und zeigen, wie Sie ihn selbst nutzen können.

Mehr
Ratgeber 

Android ohne Google – wie geht das?

Wer ein Android-Gerät in Betrieb nimmt, wird aufgefordert, die Nutzungsbedingungen von Google zu akzeptieren und ein Google-Konto einzurichten. Von diesem Moment an fließen Nutzungsdaten an den Konzern. Geht es auch anders?

Mehr
Ratgeber 

Kindersicherung bei Samsung: Kindermodus und Samsung Kids

Samsung hat in Sachen Kindersicherung ganz eigene Lösungen entwickelt. Auf älteren Geräten gibt es die App „Kindermodus“, ab Android 9 „Samsung Kids“. Die Apps sind durchaus gut durchdacht, gerade beim Kindermodus gibt es aber auch Kritikpunkte.

Mehr