Siri-Vorschläge sind mit Vorsicht zu genießen

Ihr habt das sicher selbst schon gesehen. Siri kann bei eingehenden Anrufen, E-Mails oder Textnachrichten aus zunächst unbekannter Quelle Vorschläge zu deren Absender machen. Findet sich die Telefonnummer des nicht in euren Kontakten gespeicherten Absenders einer Textnachricht beispielsweise in einer E-Mail, so ergänzt die Apple-Assistentin als Absender etwas wie „Vielleicht: Steve Jobs“. Das kann sehr hilfreich sein, allerdings sollte man im Zusammenhang mit dieser Funktion auch wachsam sein, und nicht alles für bare Münze nehmen, was Siri hier so vorschlägt.

Bild: Fortune

Ein Mitarbeiter des auf Sicherheitslösungen spezialisierten Unternehmens Wandera hat aufgezeigt, wie man mithilfe dieser Siri-Vorschläge leichtgläubige Zeitgenossen hinters Licht führen kann. So genügt es teilweise bereits, den Namen, den mal gerne durch Siri als vermeintlichen Absender präsentiert hätte, einfach in der Nachricht selbst mitzuschicken.

Im konkreten Beispiel wurde die Textnachricht mit „Ich bin Alan Murray“ eingeleitet, hierbei handelt es sich um den Chef des „Opfers“, welcher die von Siri daraufhin mit „Vielleicht: Alan Murray“ betitelte Nachricht entsprechend ernst nahm. Ebenso sei es Möglich gewesen, die Namen von Finanzinstituten oder dergleichen auf diese Weise unterzubringen. Apple filtert hier zwar bereits um Missbrauch vorzubeugen (Begriffe wie „Bank“ oder „Wells Fargo“ werden ignoriert), lässt jedoch noch zu viele Lücken.

Als potenzielle Grundlage für Angriffe per „Social Engineering“ ist die Kritik der Sicherheitsforscher sicher ernst zu nehmen. Apple könnte hier sicher noch nachbessern, zugleich muss man aber auch einmal mehr an den gesunden Menschenverstand appellieren: Nehmt die Bedeutung des Wortes „Vielleicht“ in der Absenderanzeige einfach beim Wort, und lasst ein gesundes Maß an Vorsicht walten.