Phisher können Siri-Vorschläge manipulieren
Der Missbrauch einer Siri-Funktion ermöglicht Angreifern, sich gezielt als ein beliebiger Absender auszugeben, warnen Sicherheitsforscher.
Schon seit iOS 9 schlägt Siri einen Namen zu einer nicht im Adressbuch verzeichneten Telefonnummer vor.
(Bild: Apple)
Apples Assistenzsystem Siri lässt sich für Phishing und Social Engineering einspannen: Auf zwei simple Arten können Angreifer eine Siri-Funktion manipulieren, wie eine Sicherheitsfirma warnt. Beide Methoden machen sich zunutze, dass Siri standardmäßig versucht, unbekannten Telefonnummern einen Namen zuzuweisen. Dies gebe den Nachrichten oder Anrufen von einer ansonsten unbekannten Nummer einen legitimen Anstrich.
Absendername lässt Phishing-Nachrichten legitimer erscheinen
Der Phisher könne sich in einer ersten Textnachricht an das Opfer einfach als eine bestimmte Person oder auch Institution vorstellen, dann zeigt das iPhone diese Bezeichnung als Absender- respektive Kontaktvorschlag an, wie das Magazin Fortune berichtet.
Das funktioniert den Tests der Sicherheitsfirma zufolge mit verschiedenen Eigennamen und auch weiteren Begriffen wie etwa “Wells Fargo” als Namen eines amerikanischen Finanzdienstleisters. Apple scheint das Missbrauchspotential bewusst zu sein: Bestimmte Bezeichnungen wie etwa “Bank” und “Credit Union” werden dem Bericht zufolge aus den Vorschlägen ausgeklammert und entsprechend nicht als Absendername automatisch eingefügt.
Siris Kontaktvorschläge abschalten
Die zweite, deutlich aufwendigere Methode zur Manipulation der Siri-Vorschläge setzt darauf, dem Opfer erst eine E-Mail zuzuschicken, die auch eine Telefonnummer mitsamt eines Namens enthält. Antwortet der Empfänger darauf – das schließt angeblich auch automatisierte Antwortnachrichten ein –, merkt sich Siri die Kombination aus Nummer und Namen. Wird das Opfer dann von dieser Telefonnummer aus kontaktiert, blendet Siri den vorab übermittelten Namen als Vorschlag ein, so die Sicherheitsfirma.
Man habe Apple die Schwachstelle Ende April mitgeteilt, erklären die Sicherheitsforscher, der Konzern sehe darin aber keine “Sicherheitslücke”, sondern einen Software-Fehler, der behoben werden soll. Nutzer, die die Siri-Vorschläge für Absendernamen abschalten wollen, können dies in den iOS-Einstellungen unter “Kontakte” im Abschnitt “Siri &Suchen” vornehmen: Dort findet sich ein Schalter für die Funktion “In anderen Apps suchen”. (lbe)
