Siri Shortcuts kunnen persoonlijke data laten uitlekken

De ontwikkelaar van de programmeerapp Codea heeft een voorbeeld gemaakt om het mogelijke kwaad te demonstreren. De shortcut kan contactgegevens, browserhistorie, appgebruik en namen die je in iMessage-berichten intikt achterhalen. Ook kan de inhoud van bestanden worden gelezen, waarschuwt de ontwikkelaar. Dergelijke shortcuts doen zich meestal voor als een hulpmiddel om je geheugen op te schonen. In werkelijkheid blijken ze echter de data te comprimeren en te uploaden. Vervolgens sturen ze via de Berichten-app een link naar de kwaadwillende persoon.

Persoonlijke data lekt via Siri Shortcuts

Het is een gevaar omdat de meeste mensen de stappen niet nalopen als ze een Siri Shortcut installeren. Ze denken dat ze de shortcut ophalen bij Apple en hebben er daarom vertrouwen in dat het deugt. “Je kunt van een redelijke gebruiker niet verwachten dat hij weet waar hij mee akkoord gaat”, aldus ontwikkelaar Simeon. “Door automatisch shortcuts in te plannen zou je zelfs iemand kunnen verleiden om een keylogger te installeren.”

https://twitter.com/twolivesleft/status/1088080307457159169

Simeon heeft de informatie al gedeeld met Apple en hoopt dat het bedrijf de beveiliging gaat verbeteren. Omdat Apple zelf niet de shortcuts beheert op een server kan er ook weinig controle op uitgeoefend worden. Apple kan dan ook nooit garanderen dat een shortcut veilig is.

Siri Shortcuts zijn nieuw in iOS 12. Je hebt er de Opdrachten-app voor nodig en kunt vervolgens zelf taken automatiseren of een bestaande shortcut overnemen. Omdat de shortcuts die door anderen zijn gemaakt vaak vrij uitvoerig zijn, is niet altijd goed te controleren wat ze allemaal doen. Appmakers kunnen ook Siri Shortcuts maken van hun apps, maar ook dan kun je als gebruiker niet altijd goed zien wat de stappen zijn. Apple belooft dat de stappen lokaal op je toestel worden uitgevoerd, maar dat betekent niet dat ze ook veilig zijn.