4 minutter å lese

Hei, Siri – ikke slipp inn fremmede på iPhonen min, er du grei?

Nå som den talestyrte iPhone-assistenten Siri er tilgjengelig også for oss som prater norsk, kan alle hjerter fryde seg.

Eller?

Skal vi tro en rapport fra sikkerhetsselskapet Trend Micro – og våre påfølgende egne tester med fenomenet – er det nemlig knyttet en aldri så liten sikkerhetsrisiko til det å ha Siri aktivert på iPhone eller iPad.

Selv om enheten er låst med en kode, er det nemlig mulig for hvem som helst å misbruke Siri til å utlevere ditt fulle navn, e-postadressen og telefonnummeret ditt – samt publisere til Facebook-veggen din. Uten å måtte låse opp telefonen.

giphy (4)

Mye av «vitsen» med Siri, er nemlig at hun skal kunne hjelpe deg uten at du må knote rundt med fingrene på skjermen. Det er for eksempel spesielt praktisk om du bruker handsfree eller en Apple Watch – du aktiverer da bare Siri ved å trykke på en knapp.

Hun begynner da å lytte, og du kan gi enkle beskjeder som å ringe eller sende SMS til noen, publisere en Facebook-oppdatering, og så videre. Uten å måtte taste inn en eneste bokstav.

For at dette skal være praktisk i bruk, bør du helst kunne trykke inn knappen – også på selve telefonen – uten å først måtte låse opp telefonen. Og nettopp der oppstår problemet, når de praktiske fordelene veies opp mot sikkerheten.

facebookIfølge Trend Micro er dette eksempler på hva Siri kan gjøre for deg (eller noen andre) uten at telefonen er låst opp:

  • «Hva heter jeg»: Viser dine personlige opplysninger
  • «Send beskjed til XX»: Sender SMS til hvem som helst av dine kontakter
  • «Ring til XX»: Ringer til hvem som helst av dine kontakter
  • «Lag Facebook-oppdatering»: Skriver hva som helst på din Facebook-vegg
  • «Vekk meg kl. XX»: Setter din alarm til et hvilket som helst tidspunkt
  • «Opprett avtale»: Oppretter en avtale i din kalender
  • «Vis mine avtaler for XX»: Viser avtaler fra en hvilken som helst dag i din kalender
  • «Slett avtale»: Sletter en hvilken som helst avtale i din kalender

– Det positive ved at man kan bruke Siri selv om telefonen er låst er eksempelvis at nødetatene kan identifisere deg eller ringe til dine pårørende om du har kommet til skade og ikke er ved bevissthet, uttaler Karianne Myrvold, markedssjef i Trend Micro Norge i en pressemelding.

Men alle medaljer har altså en bakside, og denne:

– Skulle din iPhone eller iPad falle i feil hender, kan Siri lett misbrukes. Det er nærmest uante muligheter for misbruk med de kommandoene Siri tillater, selv om din iPhone eller iPad er låst. Man kan jo enkelt forestille seg hva det kan føre til av problemer – at man både kan skrive falske Facebook-statusoppdateringer og SMSer til familie, venner, bekjente og kollegaer, men ikke minst foreta dyre utenlandssamtaler som iPhone-tyven tjener penger på, sier Myrvold videre.

For å begrense hvordan uvedkommende skal kunne misbruke telefonen din om de skulle få tak på den, er det visse grep du kan gjøre.

siri_asFørst og fremst handler det om å deaktivere Siri når skjermen er låst, noe du gjør ved å gå til Innstillinger, velge «Touch ID og kode» og slå av Siri under «Tilgang fra låst skjerm». Dette gjør telefonen tryggere, men fjerner samtidig noen av de praktiske egenskapene ved å ha Siri tilgjengelig via handsfree.

Trend Micro skulle gjerne sett at sikkerheten knyttet til Siri var litt bedre fra Apples kant, noe de også nå oppfordrer teknologiselskapet til å følge opp:

– Siri bør bli utvidet med ytterligere sikkerhetsfunksjoner for å bedre beskytte dine private opplysninger. Ett konkret tiltak kunne vært at man vil kreve godkjennelse fra vedkommendes iPhone eller iPad før man kan ringe, sende beskjeder, opprette og slette kalenderavtaler, stille inn alarmer, eller gå på Facebook når telefonen er låst. Inntil Apple har tilrettelagt for dette, vil vi oppfordre alle som bruker Siri til å være varsomme med hvem som får fysisk adgang til deres iPhone eller iPad, eller å slå av muligheten for å bruke Siri når telefonen er låst, sier Myrvold.

Også Datatilsynet skulle gjerne sett at Siri-sikkerheten ble skjerpet.

– Når man har aktivert kode eller fingeravtrykk forventer man at innholdet på mobilen ligger trygt bak. Og selv om man som forbruker har ansvar for å sette seg inn i hvordan mobilen fungerer, kan man ikke forvente at alle skjønner at «Siri» fungerer på denne måten, sier informasjonssjef Ove Skåra i Datatilsynet til Aftenposten.no.

I dag er Siri skrudd på som standard ved nye telefoner, og dette er ifølge Skåra ikke ideelt.

– Slik det fungerer nå kan uvedkommende få tilgang til sensitiv informasjon om deg, være seg det er timeavtalen med psykolog eller telefonnummer til venner. Og man kan lett forestille seg hvor uheldig det er om noen poster på Facebook-siden din i ditt navn, sier Skåra.