Виртуального помощника Siri можно использовать для обмана пользователей. Способ основан на том, как Siri пытается распознать неизвестный контакт, но обман очень легко раскрыть, если присматриваться к деталям.
Компания по кибербезопасности выпустила демо эксплойта и объяснила, что для обмана есть два способа. Сначала хакер отправляет кому-то email с поддельного аккаунта с номером телефона. Если получатель ответит на письмо, Siri начнёт пытаться распознать отправителя.
Есть два способа проделать такой трюк. Хакер отправляет кому-то email с поддельного аккаунта с номером телефона, допустим, в подписи к письму. Если цель отвечает, даже если ответ автоматический, то номер будет сохранён в контактах.
Также можно проделать обман через сообщение, что даже легче. Если отправитель представится в сообщении, Siri тоже сохранит контакт.
Хакеры могут использовать это для получения конфиденциальной информации. После сохранения контакта они могут позвонить цели, чтобы «подтвердить детали об аккаунте» или отправить вредоносную ссылку. Если пользователь поверит, хакер получит доступ к его устройству.
Siri достаточно умён, чтобы не сохранять в контактах номера банков и кредитных объединений из сообщений и электронных писем, но виртуального помощника достаточно легко обмануть, если использовать название финансового учреждения.
Apple знает о проблеме с 25 апреля, и неделю спустя заявила, что не считает её серьёзной угрозой для безопасности. В этом есть смысл, поскольку компания ничего не может сделать с такими изощрёнными способами обмана, которые придумывают хакеры.
Комментарии