Лука Кавильоне из Национального исследовательского совета Италии и Войцех Мазурчик из Варшавского технологического университета опубликовали исследовательскую работу под названием «Как понять информацию, спрятанную в iOS», где описали три этапа процедуры, в ходе которой можно незаметно похитить данные с iOS-устройства. Два исследователя информационной безопасности утверждают, что им удалось похитить и отправить пользовательскую информацию на удаленный сервер при помощи Siri и некоторых приемов из области стеганографии. Иными словами, сокрытия самого факта существования некоторого «секретного сообщения», а не только его содержимого.
Метод взлома получил название iStegSiri и позволяет незаметно для пользователя внедрять постороннюю информацию в звуковые файлы, генерируемые Siri, а затем перехватывать и декодировать данные, отправляемые Siri на сервера Apple для перевода из речи в текст, с целью получения необходимой информации. Разумеется, речь идет о смартфонах и планшетах с джейлбрейком, которые значительно меньше защищены от атак злоумышленников и позволяют получить доступ к внутренним процессам Siri. Впрочем, это не главное, поскольку iStegSiri является демонстрацией возможности внедрения данные в голосовой трафик, передающийся в реальном времени. Иными словами, атаки можно проводить на Google Voice и Shazam и другие подобные сервисы.
Первым делом атакующий должен конвертировать внедренное «секретное сообщение» в аудиоряд, используя «подходящее сочетание голоса и молчания». Для перевода речи в текст Siri отправляет голосовой запрос на сервер Apple, где он обрабатывается, а ответ возвращается на устройство. При этом атакующий имеет возможность отслеживать трафик в пассивном режиме и применяет полученную схему декодирования для расшифровки критически важной информации — от номера кредитки до комбинации Apple ID и пароля.
Для использования iStegSiri не нужны установка вредоносного ПО или изменение аппаратной части смартфона. Единственное ограничение — скорость передачи требуемых данных достигает только 0,5 байта в секунду, то есть для передачи 16-значного номера кредитки понадобится две минуты. Полученную информацию, а именно голосовой трафик, можно расшифровывать различными способами, включая использование прозрачного прокси-сервера или выгрузку для офлайн-обработки.
Несмотря на наличие уязвимости, не стоит думать, что голосовой трафик виртуальных ассистентов и подобных сервисов вскоре станет целью номер один у злоумышленников. Проблема имеет достаточно легкое решение, например, Apple могла бы анализировать последовательность слов в распознанных текстах, чтобы определить девиации в сравнении с типичным звучанием того или иного языка. В случае появления каких-то подозрений, можно быстро разорвать соединение с устройством на стороне сервера и защитить пользовательские данные.
Источник: ThreatPost
http://www.iguides.ru/main/gadgets/apple/spetsialisty_informatsionnoy_bezopasnosti_zastavili_siri_vzlomat_iphone/
|
|
Едва ли кто-то станет спорить о том, что камера iPhone — одна из самых популярных в современном мире. Купертиновские смартфоны прочно обосновались во всевозможных фоторейтингах, ведь их распространённость, помноженная на множество отличных приложений, позволяет Apple обходить куда более специализированные решения. Разумеется, компания постоянно развивает фотографическую составляющую, и доказательством тому — Live Photos, или «Живые фотографии». […] |
|
|
Любители «селфи» наверняка знакомы с русским аналогом знаменитого английского слова — «себяшкой», придуманным группой энтузиастов в прошлом году. Вряд ли в компании Daav вдохновлялись именно этим в процессе создания своего монопода, но получилось довольно интересное совпадение. Однако Sebjakka привлек нас не своим оригинальным названием, а крутым дизайном и исполнением, значительно отличающимися от дешевых китайских аналогов. […] |
|
|
Представьте себе ситуацию. Вы покупаете бывший в употреблении iPhone, берете его в руки, осматриваете на предмет внешних повреждений, включаете и совершаете первый звонок, чтобы проверить связь. Что делать дальше или как проверить смартфон наилучшим образом? Для этого вам пригодится полезная утилита Phone Doctor Plus, которую сегодня можно загрузить бесплатно. Поехали! 1. Phone Doctor Plus Цена: […] |
