Siri, die Manipulierbare

Veröffentlicht am von

Trend Micro sieht für kritische Sicherheitslücke dringenden Handlungsbedarf bei Apple

Pressemeldung der Firma TREND MICRO Deutschland GmbH

Siri, die Apple-Software für Erkennung und Verarbeitung von natürlich gesprochener Sprache im beliebten iPhone 4S, lässt sich unter bestimmten Umständen für Abhöraktionen missbrauchen. Die potenziellen Angreifer müssen dafür in die Kommunikation zwischen Siri und Apple-Servern eindringen, was im Augenblick leider möglich ist.

Wie Forscher der Apple-Design- und Entwicklungsfirma Applidium herausgefunden haben, schickt das iPhone 4S bei jeder Nutzer-Anfrage diese zuerst als komprimierte Audio-Datei an Apple. Dort wird sie in Text und anschließend in Befehle umgewandelt, die das iPhone verstehen kann, um dann an das Gerät zurückgeschickt zu werden. Es ist zwar nicht ganz leicht, aber diese Kommunikation lässt sich kapern, unter anderem mit einem gültigen SSL-Zertifikat für guzzoni.apple.com oder mit selbst signierten Zertifikaten, von deren Echtzeit das iPhone dann allerdings überzeugt werden muss. Außerdem müssen die potenziellen Angreifer die Kommunikation zwischen dem iPhone 4S und dem DNS-Server unter ihre Kontrolle bringen, was für die immer professioneller agierenden Cyberkriminellen allerdings eher eine Herausforderung als ein Problem darstellen dürfte.

„Ist ein Angreifer erst einmal auf diesem Wege in die Kommunikation eingedrungen, lassen sich sämtliche Siri-Anfragen und -Antworten abfangen. So könnten Kriminelle zum Beispiel herausfinden, woran der betroffene iPhone-Besitzer gerade arbeitet. Antworten, von Börsenkursen bis Telefonnummern, könnten geändert, fingierte Telefonverbindungen aufgebaut und abgehört werden“, erklärt Martin Rösler, „Director Threat Research“ bei Trend Micro. „Das Risiko ist real und Apple sollte so schnell wie möglich diese Sicherheitslücke schließen.“

Die umfassendste Art und Weise, diese Lücke zu schließen, wäre ein Challenge-Response-Authentifizierungssystem. Der Server SSL-Schlüssel müsste dabei zu einer bestimmten Schlüssel-ID passen oder von einem Schlüssel mit einer gesetzten ID signiert werden. Aber welcher Weg auch immer zur Lösung des Problems eingeschlagen wird, Apple allein kann etwas gegen diese Bedrohung unternehmen.



Firmenkontakt und Herausgeber der Meldung:
TREND MICRO Deutschland GmbH
Zeppelinstraße 1
85399 Hallbergmoos
Telefon: +49 (811) 88990-700
Telefax: +49 (811) 88990-799
http://www.trendmicro.de

Trend Micro, einer der international führenden Anbieter für Cloud-Security, ermöglicht Unternehmen und Endanwendern den sicheren Austausch digitaler Informationen. Als Vorreiter bei Server-Security mit mehr als zwanzigjähriger Erfahrung bietet Trend Micro client-, server- und cloud-basierte Sicherheitslösungen an. Diese Lösungen für Internet-Content-Security und Threat-Management erkennen neue Bedrohungen schneller und sichern Daten in physischen, virtualisierten und Cloud-Umgebungen umfassend ab. Die auf der Cloud-Computing-Infrastruktur des Trend Micro Smart Protection Network basierenden Technologien, Lösungen und Dienstleistungen wehren Bedrohungen dort ab, wo sie entstehen: im Internet. Unterstützt werden sie dabei von mehr als 1.000 weltweit tätigen Sicherheits-Experten. Trend Micro ist ein transnationales Unternehmen mit Hauptsitz in Tokio und bietet seine Sicherheitslösungen über Vertriebspartner weltweit an. Weitere Informationen zu Trend Micro sind verfügbar unter http://www.trendmicro.de. Anwender informieren sich über aktuelle Bedrohungen unter http://blog.trendmicro.de. Folgen Sie uns auch auf Twitter unter www.twitter.com/TrendMicroDE.


Weiterführende Links

Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die Huber Verlag für Neue Medien GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die Huber Verlag für Neue Medien GmbH gestattet.