Feature oder Bug? – Sicherheitsrisiko Sprachsteuerung

Potentielle Sicherheitslücken im iPhone OS haben in der Vergangenheit fast immer zu konstruktiven Diskussionen und schnellen Patches geführt. Die vom Fraunhofer Institut aufgespürte 0900er-Lücke wurde umgehend mit einem Firmware-Update gestopft, ungewollte SMS-Anzeigen gibt es seit gut einem halben Jahr nicht mehr und auch der, die Passcode-Sperre überlistende Doppelklick auf den Home-Button gehört der Vergangenheit an.

Heute nun stolpern die Kollegen von tuaw über einen neuen, möglichen Angriffs-Vektor des iPhones – werfen jedoch die berechtigte Frage auf, ob sich das Fundstück überhaupt als Sicherheitsrisiko kategorisiert werden kann.

Es geht um die Sprachsteuerung des iPhone 3GS. Ist diese aktiviert, nimmt das Telefon auch bei aktivierter Passcode-Sperre die entsprechenden Befehle entgegen. So lassen sich im Winter zwar die Handschuhe anbehalten – gleichzeitig ermöglicht die weiterhin aktive Spracherkennung potentiellen Dieben so jedoch den Aufbau eigener Telefonverbindungen.

Zwar lässt sich das „Voice Dial“-Feature in den iPhone-Einstellungen deaktivieren – dann jedoch nimmt das Gerät gar keine Befehle mehr entgegen – unabhängig von der eventuell gesetzten Passcode-Sperre.

Wie auch immer: Die Frage nach einer besseren Lösung wirft sich auf. Auf die Schnelle fällt uns der elegante Ansatz der AppStore-Applikation VoiceSafe (AppStore-Link) ein. VoiceSafe nutzt eine zuvor aufgezeichnete Sprachnotiz als biometrisches Passwort und erlaubt die weitere Interaktion mit dem Programm nur nach der erneuten Spracheingabe des geheimen Satzes.

Apple könnte die Idee in zukünftigen Firmware-Versionen adaptieren und mit der Passcode-Sperre kombinieren. So könnte der Satz „Rufe Martin an“ durch „Das ist mein Audio-Passwort, rufe Martin an“ ersetzt werden – oder auch nicht. Das nächste Firmware-Update wird uns entsprechend informieren.