Siri Snelkoppelingen, een functie die Apple toegevoegd in de iOS-12, kan worden misbruikt om te schrikken of gebruikers verleiden tot het betalen losgeld eisen, malware verspreiden, en voor heimelijke gegevensverplaatsing, volgens een proof-of-concept video gepubliceerd door IBM Security-onderzoekers.
Dit is mogelijk omdat Siri Snelkoppelingen is een van de meest krachtige en opdringerige functies die aanwezig zijn op de moderne versies van het iOS-besturingssysteem.
Siri Snelkoppelingen die zijn gemaakt als een manier voor gebruikers om het automatiseren van een opeenvolging van handelingen die zij kunnen bellen met een Siri-spraakbesturing. Naast het kunnen maken van Siri Snelkoppelingen zelf, iOS-gebruikers kunnen ook downloaden van de officiële Snelkoppelingen app uit de app Store om toegang te krijgen tot duizenden andere gebruiker gemaakt Snelkoppelingen, en de iOS-apps ze installeren kunt installeren hun eigen Siri Snelkoppelingen.
Siri Snelkoppelingen ondersteuning van een breed scala van activiteiten, van een simpel bestand taken verplaatsen of openen van apps, tot meer complexe organismen als de schermvergrendeling of het uploaden van content online.
Het is deze laatste functies die John Kuhn, een senior bedreiging onderzoeker bij IBM X-Force, van mening zijn klaar voor misbruik.
“Het gebruik van Siri voor kwaadaardige doeleinden, Snelkoppelingen gemaakt kan worden voor scareware, een pseudo losgeld campagne om te proberen bang te maken slachtoffers in het betalen van een criminele door hen te doen geloven dat hun gegevens in de handen van een aanvaller op afstand,” Kuhn zei.
De expert zegt Siri Snelkoppelingen uit te spreken losgeld eisen zijn eenvoudig te maken. Verder aanvallers kunnen gebruik maken van de scripts om eerst het verzamelen van gegevens van de telefoon, en gebruik het in de gesproken afpersing bedreiging te geven meer authenticiteit en geluid meer te overtuigen.
Het kwaadaardige script kan zelfs het openen van een web pagina met een rantsoen vraag, en deze pagina weer te geven sample gegevens die is geüpload vanaf het slachtoffer telefoon seconden voor.
Dit klinkt misschien dom, regelingen in de ogen van technische gebruikers met kennis van cyber-security problemen, maar een niet-technische gebruiker kan gemakkelijk worden onder de indruk. Er is een reden waarom scareware en technische ondersteuning oplichting efficiënt zijn vandaag de dag, in 2019, ook al hebben ze al meer dan 20 jaar. Niet-technische gebruikers kunnen niet altijd onderscheiden van een lege dreiging van een geldig, zeker wanneer vanuit hun telefoon.
Bovendien, Kuhn stelt dat een kwaadaardige Siri Snelkoppeling script kan ook worden gemaakt in een worm die automatisch berichten van een slachtoffer hele lijst met contacten met een link naar de bron, anderen te vragen om te installeren van het script. Het kan zich ook verspreiden download links om nog meer krachtige malware, niet alleen andere Siri Snelkoppelingen.
Kuhn en het IBM X-Force team drang gebruikers dezelfde voorzorgsmaatregelen treffen met scripts zoals ze doen met de normale iOS-apps en browser-extensies.
Gebruikers moeten installeren Siri Snelkoppelingen alleen van betrouwbare bronnen, en ze moeten altijd controleren de machtigingen van een Snelkoppeling is een verzoek om toegang tot, voordat u met de installatie.
“Hoe verleidelijk het zou zijn om gewoon naar het verleden dat de tekst en druk accepteren, gebruikers moeten zich meer bewust worden van goede beveiliging praktijken, inclusief het lezen en begrijpen van alles wat ze toestemming om te draaien op hun apparaat,” Kuhn zei.
Verwante Onderwerpen:
Apple
Beveiliging TV
Data Management
CXO
Datacenters