Trend Micro

Siri plaudert trotz Gerätesperre private Daten aus

Manfred Bremmer beschäftigt sich mit (fast) allem, was in die Bereiche Mobile Computing und Communications hineinfällt. Bevorzugt nimmt er dabei mobile Lösungen, Betriebssysteme, Apps und Endgeräte unter die Lupe und überprüft sie auf ihre Business-Tauglichkeit. Bremmer interessiert sich für Gadgets aller Art und testet diese auch.
Apples digitaler Sprachassistent Siri ist dazu gedacht, iPhone- und iPad-Nutzern die Bedienung zu erleichtern. Der Sicherheitsspezialist Trend Micro weist nun darauf hin, dass Siri seine/ihre Aufgabe möglicherweise zu genau nimmt und auch auf einem abgesperrten Gerät detaillierte Informationen und weitere Funktionen bereitstellt.

Wie Trend Micro in einem Blogbeitrag dokumentiert, erlaubt es eine potenzielle Missbrauchsmöglichkeit auf Siri-Geräten jedem, der physischen Zugriff auf das Device hat, die Spracherkennung zu nutzen, um auf persönliche Daten des Besitzers zuzugreifen - selbst wenn das iPhone oder iPad mit einem Passcode geschützt ist.

Die folgenden Befehle funktionieren auf einem abgesperrten iOS-Gerät, wenn Siri aktiviert ist:

  • "Wie ist mein Name" - Zeigt/spricht den ersten und letzten Namen für "Meine Info"unter Siri-Settings,

  • "Text Name/Nummer <Nachricht>" - Sendet einen Text mit einer Nachricht an den Kontakt Name oder die angegebene Nummer,

  • "Anrufen Name/Nummer" - Ruft den Kontakt Name oder Nummer an,

  • "Post Facebook Status <Nachricht>" - Veröffentlicht die Nachricht in dem authentifizierten Facebook-Konto,

  • "Mein Standort" - Zeigt Karte und nennt aktuellen Standort,

  • "<Vorname>" - Zeigt vollständige Kontaktdetails aus Kontakte, die dem ausgesprochenen Namen entsprechen,

  • "Meine Email-Adresse" - Zeigt/nennt die Mailadresse, die unter "Meine Info" in den Siri-Settings gespeichert ist

  • "Weck mich um morgen um 3AM " - Aktiviert den Wecker für die angegebene Zeit,

  • "Lösche den Wecker um 3AM" - Deaktiviert den Wecker für die angegebene Zeit,

  • "Erstelle Event/Erinnerung/Eintrag/Termin <Datum/Zeit>" - Erstellt einen Kalendereintrag für die angegebene Daten und Zeiten,

  • "Zeige <Datum/Zeit> Plan - Zeigt die Kalendereinträge für die angegebene Daten und Zeiten,

  • "Lösche Event/Erinnerung/Eintrag/Termin <Datum/Zeit>" - Löscht einen Kalendereintrag für die angegebene Daten und Zeiten.

Mit dem Wissen um die auf einem abgesperrten Siri-Gerät möglichen Befehle können potenzielle Angreifer allerlei Missbrauch betreiben, warnt Trend Micro. So ließen sich die Befehle auch von Personen mit schlechten Absichten einsetzen, um dem Besitzer zu schaden, etwa einen Facebook-Status wie "jetzt Single" zu posten.

Nach eigenen Angaben hat der japanische Sicherheitsspezialist bereits Apple über das Sicherheitsproblem von Siri für die Wahrung der Privatsphäre der Anwender informiert und zusätzliche Schutzmaßnahmen wie eine Identitätserkennung per Stimme oder eine Passwortabfrage vor dem Zugriff auf vertrauliche Daten oder Funktionen vorgeschlagen. Apple habe in seiner Antwort auf die Möglichkeit hingewiesen, Siri für den Fall zu deaktivieren, dass das Gerät gesperrt ist. Die Anwender müssen hierfür in den Einstellungen den Reiter "Touch ID & Passcode" auswählen und dort den Zugriff auf Siri im Sperrzustand deaktivieren.

Hier lässt sich der Zugriff auf Siri im Sperrzustand deaktivieren.
Hier lässt sich der Zugriff auf Siri im Sperrzustand deaktivieren.