Siris Fehler: Apples persönlicher Assistent gibt Daten heraus

Originalbeitrag von Trend Micro Senior Threat Researchers

Siri für iOS-Geräte dient der Vereinfachung der täglichen Aufgaben, sei es durch Navigieren zur nächsten Tankstelle oder durch Vereinfachung der Kontaktpflege in den sozialen Medien. iOS-Nutzer müssen lediglich den Namen eines Kontakts nennen, und das Gerät zeigt die Telefonnummer sowie Mailadresse an. Doch die Bequemlichkeit hat auch ihren Preis: persönliche Informationen. Es dauert nur 30 Sekunden auf einem Siri-aktivierten iOS-Gerät, bis man den Namen, Mailadresse, Telefonnummer oder gar ein Foto des Besitzers herausfindet – unabhängig davon, ob das Telefon abgesperrt ist oder nicht. Besorgniserregend, oder?
Eine potenzielle Missbrauchsmöglichkeit auf Siri-Geräten erlaubt es jedem, Spracherkennung zu nutzen, um auf Daten auf dem Gerät zuzugreifen, auch mit einem Passcode. Idealerweise würde ein Passcode nicht autorisierten Zugriff auf jedwelche Information auf dem Mobilgerät verhindern, genauso wie ein Kennwort auf einem Computer. Ein abgesperrtes Gerät sollte die Identität des Besitzers und die Kontaktinformationen nicht anzeigen, genauso wenig wie die der Freunde, Familie und Kontakte. Siri umgeht dies und liefert detaillierte Informationen und weitere Funktionen auf einem abgesperrten Gerät.

Es gibt einige Gesprächsstränge auf Apple-Support Foren zu dem Thema, und zwar bereits seit der Einführung von Siri. Deshalb ist es sinnvoll, den Lesern die Sicherheits- und Vertraulichkeitsrisiken nochmals vor Augen zu führen.

Was kann Siri

Sobald jemand physischen Zugriff auf das Gerät hat, kann er/sie Spracherkennung nutzen, um die Telefonnummer oder Befehle auszusprechen, einschließlich solcher, die Zugriff auf Namen, Nummern, Kalendereinträge und weiteres erlauben. Die folgenden Befehle funktionieren auf einem abgesperrten iOS-Gerät, wenn Siri aktiviert ist:

  • „Wie ist mein Name“ — Zeigt/spricht den ersten und letzten Namen für „Meine Info”unter Siri-Settings,
  • „Text Name/Nummer <nachricht>” – Sendet einen Text mit einer Nachricht an den Kontakt Name oder die angegebene Nummer,
  • „Anrufen Name/Nummer” – Ruft den Kontakt Name oder Nummer an,
  • „Post Facebook Status <Nachricht>” – Veröffentlicht die Nachricht in dem authentifizierten Facebook-Konto,
  • „Mein Standort” – Zeigt Karte und nennt aktuellen Standort,
  • „<Vorname>” – Zeigt vollständige Kontaktdetails aus Kontakte, die dem ausgesprochenen Namen entsprechen,
  • „Meine Email-Adresse” — Zeigt/nennt die Mailadresse, die unter „Meine Info” in den Siri-Settings gespeichert ist
  • „Weck mich um morgen um 3AM ” – Aktiviert den Wecker für die angegebene Zeit,
  • „Lösche den Wecker um 3AM” – Deaktiviert den Wecker für die angegebene Zeit,
  • „Erstelle Event/Erinnerung/Eintrag/Termin <Datum/Zeit>” – Erstellt einen Kalendereintrag für die angegebene Daten und Zeiten,
  • „Zeige <Datum/Zeit> Plan – Zeigt die Kalendereinträge für die angegebene Daten und Zeiten,
  • „Lösche Event/Erinnerung/Eintrag/Termin <Datum/Zeit>” – Löscht einen Kalendereintrag für die angegebene Daten und Zeiten.

Es folgen einige Beispielszenarien, die zeigen, wie ein Nutzer Siri-Befehle dafür einsetzen kann, um Informationen zu bekommen und gewisse Aktionen auszuführen:



 

Bilder 1-4. Unterschiedliche Siri-Befehle

Auswirkungen auf die Vertraulichkeit

Die Möglichkeiten sind schier unendlich, wenn potenzielle Angreifer obige Befehle auf ein abgesperrtes iOS-Gerät anwenden. Viele davon haben Auswirkungen auf die Vertraulichkeit der Daten des Besitzers und dessen Kontakte.

Idealerweise für den Besitzer könnten die Sprachbefehle von der Polizei oder anderen Helfern dazu genutzt werden, um die Identität einer verletzten Person herauszubekommen oder Familienmitglieder zu kontaktieren. Doch lassen sich die Befehle auch von Personen mit schlechten Absichten einsetzen, um dem Besitzer zu schaden, etwa einen Facebook-Status wie „jetzt Single“ zu posten.

Auch Nicht-iOS-Nutzer sind eventuell in Gefahr. Denn bei der Menge von Millionen weltweit verkaufter Geräte besteht die Möglichkeit für jeden, auf einem Siri-aktiven Gerät gespeichert zu sein. Und damit sind die eigenen Kontaktinformationen auch für nicht Wohlgesinnte zugänglich.

Was kann man tun

Siri erfordert zusätzlichen Schutz, damit die persönlichen Informationen auf einem iOS-Gerät auch vor Missbrauch sicher sind. Dazu gehört stimmliche Identitätserkennung oder Nutzerauthentifizierung, bevor die Befehle befolgt werden. Doch bis die Autoren von Siri Schritte unternehmen, um den Missbrauch zu verhindern, ist Besitzern zu empfehlen, darauf zu achten, wer das Gerät benutzt und bei Bedarf den persönlichen Assistenten auszuschalten.

Trend Micro hat Apple über das Sicherheitsproblem von Siri für die Wahrung der Privatsphäre der Anwender informiert. In seiner Antwort hat Apple auf die Möglichkeit hingewiesen, Siri für den Fall zu deaktivieren, dass das Gerät gesperrt ist. Dazu ist eine Änderung in den Einstellungen nötig. Die Anwender müssen hierfür das entsprechende Menü aufrufen und den Reiter „Touch ID & Passcode > Siri“ anklicken. Dort können sie dann eingeben, dass Siri automatisch deaktiviert werden soll, sobald das Gerät gesperrt ist.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.