computerwoche.de

Mobile & Apps

Sicherheitsfirma

Siri hilft beim Phishen

12.06.2018
Von 
Peter Müller ist der Ansicht, dass ein Apple täglich den Arzt erspart. Sei es iMac, Macbook, iPhone oder iPad, was anderes kommt nicht auf den Tisch oder in die Tasche. Seit 1998 beobachtet er die Szene rund um den Hersteller von hochwertigen IT-Produkten in Cupertino genau. Weil er schon so lange dabei ist, kennt er die Apple-Geschichte genau genug, um auch die Gegenwart des Mac-Herstellers kritisch und fair einordnen zu können. Ausgeschlafene Zeitgenossen kennen und schätzen seine Beiträge im Macwelt-Morgenmagazin, die die Leser werktags pünktlich um acht Uhr morgens in den nächsten Tag mit Apfel und ohne Doktor begleiten. Privat schlägt sein Herz für die Familie, den FC Bayern, sechs Saiten, Blues-Skalen und Triolen im Shuffle-Rhythmus.
Alle Posts des Autors Email:
Feature oder Bug? Auf alle Fälle ein vermeidbares Sicherheitsrisiko, wenn man genau auf seine Anrufe und Nachrichten schaut.

Laut Fortune warnen die Sicherheitsexperten des Startups Wandera vor einem Feature in iOS, das Phishern einen Zugang zu iPhone-Nutzern gibt. Siri erkennt die Identität von Anrufern, wenn sich die KI nicht sicher ist, stellt sie bei Telefonanrufen und eingehenden Nachrichten ein "Vielleicht:" davor. Wenn nun die Phisher in zuvor versandten Mails eine Telefonnummer und einen Namen hinterlassen und man darauf geantwortet hat – sei es mit einer automatischen Abwesenheitsnotiz, blendet das iPhone diesen Namen mit einem "Vielleicht" auf dem Display ein, was die Chance erhöht, dass man den Anruf oder die Nachricht annimmt.

Vielleicht: Siri bietet sehr viel Potential - leider auch für Phisher.
Vielleicht: Siri bietet sehr viel Potential - leider auch für Phisher.
Foto: Apple

Konkret demonstrierte das Wanderas Ingenieur James Mack dem Fortune-Autoren Robert Hackett mit einer Nachricht, die scheinbar vom Vorgesetzten seines Vorgesetzten kam und die ihn aufforderte, seine "jüngste Geschichte hier" zu posten, auf einen Phishing-Link, der nur scheinbar auf Office 365 führte. Hackett stutzte kurz, erinnerte sich dann aber die von Wandera gegebene Erklärung der vermeintlichen Lücke und nahm den Anruf von "Vielleicht: Bob Marley" dann relativ gelassen an - Mack war am anderen Ende der Leitung. Apple habe zwar eine Sicherung gegen derartige Fake- oder Vielleicht-Kontakte eingebaut und lasse Phrasen wie "Bank" oder "Credit Union" nicht zu, "Wells Fargo" oder "Acme Financial" seien aber nicht gesperrt. So sollte man die Augen offen halten, ob die eigene Bank tatsächlich anruft oder nur vielleicht – bei derartigem Social Engineering sitzt oder steht die wesentliche Schwachstelle immer vor dem Bildschirm.

Wandera kritisiert aber zwei andere Aspekte: Siri sei eine "Black Box", außerhalb Apples wüsste niemand, wie genau die KI funktioniere. Der andere Punkt sei die KI, die nicht selbst von Übel sei, von Kriminellen aber in übler Weise ausgenutzt werden könne.

Mark Gurman von Bloomberg hält die Warnung für überbewertet, diese Funktionen gebe es seit iOS 9 und seien kein ernsthaftes Einfallstor für Betrüger. Apple könne diese automatische Erkennung auch jederzeit wieder abstellen. Dieser Ansicht würden wir uns durchaus anschließen, aber Kriminelle leben nun einmal davon, dass jeden Tag ein Naiver aufsteht. (Macwelt)