Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Security > Trend Micro ruft Apple zum Handeln auf

Siri als Spionagetool

Trend Micro ruft Apple zum Handeln auf

23. November 2011, 10:55 Uhr | Elke von Rekowski
Das aktuelle iPhone hat nicht zuletzt wegen der Software Siri eine Menge Fans (Foto: Apple).

Für Abhöraktionen missbrauchen lässt sich unter bestimmten Umständen Siri, die Apple-Software für Erkennung und Verarbeitung von natürlich gesprochener Sprache im iPhone 4S. Dazu muss ein potenzieller Angreifer lediglich in die Kommunikation zwischen Siri und Apple-Servern eindringen.

Das ist derzeit leider möglich, so das Sicherheitsunternehmen Trend Micro. Wie Forscher der Apple-Design- und Entwicklungsfirma Applidium herausgefunden haben, schickt das iPhone 4S bei jeder Nutzer-Anfrage diese zuerst als komprimierte Audio-Datei an Apple. Dort wird sie in Text und anschließend in Befehle umgewandelt, die das iPhone verstehen kann, um dann an das Gerät zurückgeschickt zu werden. Es ist zwar nicht ganz leicht, aber diese Kommunikation lässt sich kapern, unter anderem mit einem gültigen SSL-Zertifikat für guzzoni.apple.com oder mit selbst signierten Zertifikaten, von deren Echtzeit das iPhone dann allerdings überzeugt werden muss. Außerdem müssen die potenziellen Angreifer die Kommunikation zwischen dem iPhone 4S und dem DNS-Server unter ihre Kontrolle bringen, was für die immer professioneller agierenden Cyberkriminellen allerdings eher eine Herausforderung als ein Problem darstellen dürfte, mahnt das Sicherheitsunternehmen.

»Ist ein Angreifer erst einmal auf diesem Wege in die Kommunikation eingedrungen, lassen sich sämtliche Siri-Anfragen und -Antworten abfangen. So könnten Kriminelle zum Beispiel herausfinden, woran der betroffene iPhone-Besitzer gerade arbeitet. Antworten, von Börsenkursen bis Telefonnummern, könnten geändert, fingierte Telefonverbindungen aufgebaut und abgehört werden«, erklärt Martin Rösler, „Director Threat Research bei Trend Micro. Das Risiko ist seiner Einschätzung nach real und Apple sollte diese Sicherheitslücke so schnell wie möglich schließen. Der Experte rät zu einem Challenge-Response-Authentifizierungssystem, um die Lücke zu schließen. Der Server SSL-Schlüssel müsste dabei zu einer bestimmten Schlüssel-ID passen oder von einem Schlüssel mit einer gesetzten ID signiert werden.

Lesen Sie mehr zum Thema

TREND MICRO Deutschland GmbH Apple GmbH
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu TREND MICRO Deutschland GmbH

Ransomware vor und nach LockBit

Trend Micro: Kleine Unternehmen sind bevorzugtes…

Trend Micro: Erweiterter Schutz

Cybersecurity-Plattform mit Schutz für…

Webinar-Themenreihe NIS-2

NIS-2 als Chance begreifen

Advertorial

Hinter den Kulissen: Risikomanagement aus Sicht…

Gast-Kommentar von Richard Werner

Der stets aktuelle IT-Security-Evergreen:…

Weitere Artikel zu Apple GmbH

Ein Schritt in Richtung Nachhaltigkeit

Apple lässt bei Reparaturen Bauteile aus alten…

Leichtes Wachstum im 1. Quartal 2024

PC-Markt kommt endlich aus der Talsohle

Spin-off aus der Auto-Entwicklung

Apple denkt über Haushalts-Roboter nach

Wegen irreführender Werbung

Deutsche Umwelthilfe klagt gegen Apple

Neue Computergeneration „Blackwell"

Nvidia will mit neuem Computersystem seine…

Matchmaker+
d.velop AG

d.velop AG
kiwiko eG - IT-Expertennetzwerk

kiwiko eG - IT-Expertennetzwerk
HP Deutschland GmbH

HP Deutschland GmbH
sysob IT-Distribution GmbH & Co. KG

sysob IT-Distribution GmbH & Co. KG
grommunio GmbH

grommunio GmbH
AGFEO GmbH & Co. KG

AGFEO GmbH & Co. KG