“Hey Siri”应是启动苹果数字助手的语音指令,但在攻击者眼中,这一新 Siri Shortcuts 功能是可以被滥用的。
苹果Siri的定位是方便用户的语音助手,但IBM在2019年1月31日发布的一份新研究报告指出,攻击者可以滥用该 Siri Shortcuts 功能。
苹果公司在 iOS 12 中引入了 Siri Shortcuts,令用户和开发者可指使Siri自动化一系列任务。IBM X-Force 安全部门发现,Siri Shortcuts 也可被用于恶意目的,比如所谓的恐吓软件攻击——诱骗用户支付一笔费用以避免信息被盗。IBM开发的 Siri Shortcuts 恐吓软件攻击概念验证(PoC)中,恶意快捷方式可利用原生Siri语音读取iOS设备上的信息,然后要求用户支付费用。
IBM X-Force 未检测到利用该方法的攻击,但开发了概念验证程序,用以警告用户其潜在危险。
IBM披露 Siri Shortcuts 风险的时机正撞上苹果为FaceTime关键漏洞焦头烂额的一周。FaceTime漏洞可致用户被攻击者窃听。但与FaceTime漏洞不同 Siri Shortcuts 问题不属于苹果产品的明显漏洞。
IBM X-Force 用Shortcuts应用的原生功能就进行了所有这些研究,没有利用到任何漏洞。所以我们强烈建议用户在添加Shortcuts功能前慎重考虑,仔细审查。
自最初的研究发现开始,IBM就与苹果合作,共享所有研究细节,进行负责任披露。
原理
Siri Shortcuts 为用户和开发者提供强大的功能。IBM担心黑客可能会滥用该功能,以恐吓软件骗取用户支付费用。而且还有另一种可能:黑客操控 Siri Shortcuts 向受害者联系人列表中的所有人发送消息,进驻其他设备,扩展攻击的影响。
只要有授权,攻击者就能够通过Siri Shortcuts 有原生功能向联系人发送消息。所以理论上讲,这会被攻击者用来传播(恶意)链接。
不过,Siri Shortcuts 攻击想要扩散还是会遇到几个障碍的。此类攻击需要用户安装并运行Shortcuts,很容易让人联想到用电子邮件传播的恶意软件。另外,Siri Shortcuts 也不存在“偷渡式”风险,仅仅是访问恶意网站并不会让用户遭遇 Siri Shortcuts 滥用。用户必须安装 Siri Shortcuts 应用和恶意快捷方式才会有此风险。但是,攻击者可以采用社会工程方法很容易地引诱用户这么做。
攻击者的社会工程策略,主要是通过钓鱼邮件的方式,来诱导受害者安装恶意软件。通常,攻击者需要提供足够有诱惑力的内容,来让用户接受诱导,并选择安装这些可疑软件。
至于 Siri Shortcuts 可以访问并发回给攻击者的数据,默认设置下是有限制的。
Siri Shortcuts 确实可以访问手机上某些系统文件。但根据我们的研究结果,带有个人可识别信息(PII)的文件是访问受限的。Siri Shortcuts 确实具备获取受害者物理地址、IP地址、照片、视频等数据的原生功能。
那么,苹果用户到底应该怎么做呢?IBM建议,用户在下载第三方 Siri Shortcuts 时提高警惕,只从可信源安装该应用。另外,小心谨慎地运行 Siri Shortcuts,按需授权操作。
相关阅读