IBM警告:蘋果Siri功能存在風險
“Hey Siri”應是啟動蘋果數字助手的語音指令,但在攻擊者眼中,這一新 Siri Shortcuts 功能是可以被濫用的。
蘋果Siri的定位是方便使用者的語音助手,但IBM在2019年1月31日釋出的一份新研究報告指出,攻擊者可以濫用該 Siri Shortcuts 功能。
蘋果公司在 iOS 12 中引入了 Siri Shortcuts,令使用者和開發者可指使Siri自動化一系列任務。IBM X-Force 安全部門發現,Siri Shortcuts 也可被用於惡意目的,比如所謂的恐嚇軟體攻擊——誘騙使用者支付一筆費用以避免資訊被盜。IBM開發的 Siri Shortcuts 恐嚇軟體攻擊概念驗證(PoC)中,惡意快捷方式可利用原生Siri語音讀取iOS裝置上的資訊,然後要求使用者支付費用。
IBM X-Force 未檢測到利用該方法的攻擊,但開發了概念驗證程式,用以警告使用者其潛在危險。
IBM披露 Siri Shortcuts 風險的時機正撞上蘋果為FaceTime關鍵漏洞焦頭爛額的一週。FaceTime漏洞可致用戶被攻擊者竊聽。但與FaceTime漏洞不同 Siri Shortcuts 問題不屬於蘋果產品的明顯漏洞。
IBM X-Force 用Shortcuts應用的原生功能就進行了所有這些研究,沒有利用到任何漏洞。所以我們強烈建議使用者在新增Shortcuts功能前慎重考慮,仔細審查。
自最初的研究發現開始,IBM就與蘋果合作,共享所有研究細節,進行負責任披露。
原理
Siri Shortcuts 為使用者和開發者提供強大的功能。IBM擔心黑客可能會濫用該功能,以恐嚇軟體騙取使用者支付費用。而且還有另一種可能:黑客操控 Siri Shortcuts 向受害者聯絡人列表中的所有人傳送訊息,進駐其他裝置,擴充套件攻擊的影響。
只要有授權,攻擊者就能夠通過Siri Shortcuts 有原生功能向聯絡人傳送訊息。所以理論上講,這會被攻擊者用來傳播(惡意)連結。
不過,Siri Shortcuts 攻擊想要擴散還是會遇到幾個障礙的。此類攻擊需要使用者安裝並執行Shortcuts,很容易讓人聯想到用電子郵件傳播的惡意軟體。另外,Siri Shortcuts 也不存在“偷渡式”風險,僅僅是訪問惡意網站並不會讓使用者遭遇 Siri Shortcuts 濫用。使用者必須安裝 Siri Shortcuts 應用和惡意快捷方式才會有此風險。但是,攻擊者可以採用社會工程方法很容易地引誘使用者這麼做。
攻擊者的社會工程策略,主要是通過釣魚郵件的方式,來誘導受害者安裝惡意軟體。通常,攻擊者需要提供足夠有誘惑力的內容,來讓使用者接受誘導,並選擇安裝這些可疑軟體。
至於 Siri Shortcuts 可以訪問併發回給攻擊者的資料,預設設定下是有限制的。
Siri Shortcuts 確實可以訪問手機上某些系統檔案。但根據我們的研究結果,帶有個人可識別資訊(PII)的檔案是訪問受限的。Siri Shortcuts 確實具備獲取受害者實體地址、IP地址、照片、視訊等資料的原生功能。
那麼,蘋果使用者到底應該怎麼做呢?IBM建議,使用者在下載第三方 Siri Shortcuts 時提高警惕,只從可信源安裝該應用。另外,小心謹慎地執行 Siri Shortcuts,按需授權操作。