IBM警告:蘋果Siri功能存在風險
責編:gltian |2019-02-13 14:04:40“Hey Siri”應是啟動蘋果數字助手的語音指令,但在攻擊者眼中,這一新 Siri Shortcuts 功能是可以被濫用的。
蘋果Siri的定位是方便用戶的語音助手,但IBM在2019年1月31日發布的一份新研究報告指出,攻擊者可以濫用該 Siri Shortcuts 功能。
蘋果公司在 iOS 12 中引入了 Siri Shortcuts,令用戶和開發者可指使Siri自動化一系列任務。IBM X-Force 安全部門發現,Siri Shortcuts 也可被用于惡意目的,比如所謂的恐嚇軟件攻擊——誘騙用戶支付一筆費用以避免信息被盜。IBM開發的 Siri Shortcuts 恐嚇軟件攻擊概念驗證(PoC)中,惡意快捷方式可利用原生Siri語音讀取iOS設備上的信息,然后要求用戶支付費用。
IBM X-Force 未檢測到利用該方法的攻擊,但開發了概念驗證程序,用以警告用戶其潛在危險。
IBM披露 Siri Shortcuts 風險的時機正撞上蘋果為FaceTime關鍵漏洞焦頭爛額的一周。FaceTime漏洞可致用戶被攻擊者竊聽。但與FaceTime漏洞不同 Siri Shortcuts 問題不屬于蘋果產品的明顯漏洞。
IBM X-Force 用Shortcuts應用的原生功能就進行了所有這些研究,沒有利用到任何漏洞。所以我們強烈建議用戶在添加Shortcuts功能前慎重考慮,仔細審查。
自最初的研究發現開始,IBM就與蘋果合作,共享所有研究細節,進行負責任披露。
原理
Siri Shortcuts 為用戶和開發者提供強大的功能。IBM擔心黑客可能會濫用該功能,以恐嚇軟件騙取用戶支付費用。而且還有另一種可能:黑客操控 Siri Shortcuts 向受害者聯系人列表中的所有人發送消息,進駐其他設備,擴展攻擊的影響。
只要有授權,攻擊者就能夠通過Siri Shortcuts 有原生功能向聯系人發送消息。所以理論上講,這會被攻擊者用來傳播(惡意)鏈接。
不過,Siri Shortcuts 攻擊想要擴散還是會遇到幾個障礙的。此類攻擊需要用戶安裝并運行Shortcuts,很容易讓人聯想到用電子郵件傳播的惡意軟件。另外,Siri Shortcuts 也不存在“偷渡式”風險,僅僅是訪問惡意網站并不會讓用戶遭遇 Siri Shortcuts 濫用。用戶必須安裝 Siri Shortcuts 應用和惡意快捷方式才會有此風險。但是,攻擊者可以采用社會工程方法很容易地引誘用戶這么做。
攻擊者的社會工程策略,主要是通過釣魚郵件的方式,來誘導受害者安裝惡意軟件。通常,攻擊者需要提供足夠有誘惑力的內容,來讓用戶接受誘導,并選擇安裝這些可疑軟件。
至于 Siri Shortcuts 可以訪問并發回給攻擊者的數據,默認設置下是有限制的。
Siri Shortcuts 確實可以訪問手機上某些系統文件。但根據我們的研究結果,帶有個人可識別信息(PII)的文件是訪問受限的。Siri Shortcuts 確實具備獲取受害者物理地址、IP地址、照片、視頻等數據的原生功能。
那么,蘋果用戶到底應該怎么做呢?IBM建議,用戶在下載第三方 Siri Shortcuts 時提高警惕,只從可信源安裝該應用。另外,小心謹慎地運行 Siri Shortcuts,按需授權操作。