Siri: presenta amenazas descubiertas por X-Force IRIS

Ouch Siri

Ouch Siri

Con la introducción de iOS 12 de Apple para todos sus dispositivos móviles compatibles, llegó Atajos de Siri la nueva y poderosa utilidad para la automatización de tareas comunes llamadas  .

Esta nueva característica de Siri se puede habilitar a través de desarrolladores externos en sus aplicaciones, o los usuarios pueden descargarla desde la tienda de aplicaciones.

Una vez que se descarga e instala, la aplicación los “Accesos directos” otorgan el poder de los scripts para realizar tareas complejas en los dispositivos personales de los usuarios.

Pero el acceso al teléfono desde los atajos de Siri también presentan algunos riesgos de seguridad potenciales que fueron descubiertos por X-Force IRIS y reportados al equipo de seguridad de Apple.

Esta publicación ofrece información sobre posibles escenarios de ataque utilizando accesos directos y recuerda a los usuarios que mantener un estricto control de los permisos de las aplicaciones es un paso crítico para aumentar la seguridad de los dispositivos y la forma en que los usamos.

Los atajos hacen la vida más fácil, ¿verdad?

¿Quieres convertir todas tus luces en discoteca, reproducir tu banda sonora favorita y enviar mensajes de texto a tus amigos para que vengan? ¿O tal vez realizar cálculos matemáticos complejos con un solo comando de voz? Los accesos directos de Siri pueden ayudarlo y facilitar mucho más la interacción del usuario con sus dispositivos, directamente desde la pantalla de bloqueo o mediante las aplicaciones existentes que utilizan. Estos accesos directos también se pueden compartir entre los usuarios, utilizando la propia aplicación a través de iCloud, lo que significa que se pueden pasar con bastante facilidad.

Más allá de los usuarios que desean automatizar las actividades diarias, los desarrolladores de aplicaciones pueden crear accesos directos y presentarlos a su base de usuarios desde sus aplicaciones. El acceso directo puede aparecer en la pantalla de bloqueo o en ‘buscar’ cuando se considere apropiado mostrarlo al usuario según la hora, la ubicación y el contexto. Por ejemplo, un usuario se acerca a su cafetería habitual, y la aplicación relevante muestra un atajo en la pantalla para permitirle pedir la taza habitual de java y pagarla en la aplicación antes de que ingresen a la cafetería.

Estos accesos directos son una ingeniosa adición a la funcionalidad de Siri, pero si bien permiten una funcionalidad y personalización extendidas del uso de Siri, hay algunos escenarios menos favorables que considerar.

Los atajos de Siri también pueden ser abusados ​​por los atacantes

Los accesos directos de Siri pueden ser una herramienta útil tanto para los usuarios como para los desarrolladores de aplicaciones que desean mejorar el nivel de interacción de los usuarios con sus aplicaciones. Pero este acceso también puede ser objeto de abuso por parte de terceros malintencionados. De acuerdo con la investigación de IRIS de X-Force, existen problemas de seguridad que deben tenerse en cuenta al usar los atajos de Siri.

¿Siri exigiendo rescate?

Usando Siri con propósitos maliciosos, se podrían crear accesos directos para scareware, una campaña de pseudo rescate para intentar asustar a las víctimas para que paguen a un criminal haciéndoles creer que sus datos están en manos de un atacante remoto.

Usando la función de acceso directo nativo, se podría crear un script para expresar las demandas de rescate al propietario del dispositivo mediante el uso de la voz de Siri. Para dar más credibilidad al esquema, los atacantes pueden automatizar la recopilación de datos desde el dispositivo y hacer que devuelva la dirección física actual del usuario, la dirección IP, el contenido del portapapeles, las imágenes / videos almacenados, la información de contacto y más. Estos datos pueden mostrarse al usuario para convencerlos de que un atacante puede hacer uso de ellos a menos que paguen un rescate.

Para mover al usuario a la etapa de pago de rescate, el acceso directo podría acceder automáticamente a Internet, buscar una URL que contenga información de pago a través de carteras de criptomonedas y solicitar al usuario que pague o vea sus datos eliminados o expuestos en Internet.

Desplazamiento Lateral

Para agregar a este escenario, el acceso directo malintencionado también se puede configurar para propagarse a otros dispositivos enviando un mensaje a todos en la lista de contactos de la víctima, solicitándoles que descarguen e instalen el mismo acceso directo. Este sería un método de distribución rentable y difícil de detectar, proveniente de un contacto confiable.

En un video que creamos, mostramos cómo se puede usar la funcionalidad nativa para hacer amenazas de rescate convincentes para alguien que ejecuta un atajo de Siri malicioso.

 

Preste atención a los siguientes pasos que tienen lugar en el video:

  1. El acceso directo está configurado para recopilar datos personales del dispositivo:
  • Puede recoger fotos del rollo de cámara.

  • Agarra el contenido del portapapeles.

  • Obtenga la dirección física de la ubicación del dispositivo.

  • Encuentra la dirección IP externa.

  • Consigue el modelo del dispositivo.

  • Obtener el actual operador de telefonía móvil.

  1. El atajo de Siri puede enviar la información a una parte externa; estos datos también pueden enviarse a través de SSH al servidor del atacante utilizando la funcionalidad nativa.
  2. El acceso directo puede establecer el brillo y el volumen del dispositivo al 100%
  3. Puede encender y apagar la linterna del dispositivo mientras vibra al mismo tiempo para captar la atención del usuario y hacerle creer que su dispositivo ha sido tomado.
  4. El acceso directo se puede hacer para emitir una nota de rescate que puede incluir datos personales convincentes para que el usuario crea en el atacante. Por ejemplo, puede indicar la dirección IP y la dirección física de la persona y exigir el pago.
  5. El acceso directo puede programarse aún más para luego mostrar la nota hablada en un formato de alerta por escrito en el dispositivo.
  6. Para pedirle al usuario que pague, el acceso directo se puede configurar para abrir una página web, accediendo a una URL que contiene información de pago a una billetera de criptomonedas o a una página de phishing que solicita información de tarjeta de pago / cuenta [1].
  7. Para difundirse, y dado que los accesos directos de Siri se pueden compartir entre los usuarios, el acceso directo malintencionado también podría enviar un enlace a todas las personas en la lista de contactos del usuario, lo que le otorga una capacidad de “gusano” [2] que es fácil de implementar pero más difícil de detectar.

[1] No se muestra en este vídeo.

[2] En este vídeo no se muestra .

No solo el rescate

En nuestros laboratorios de investigación de seguridad, probamos el escenario del ataque de rescate.

El método abreviado que creamos se denominó “Rescate” en el video, pero podría ser nombrado fácilmente como cualquier otro nombre para incitar a los usuarios a ejecutarlo.

Los señuelos, como los trucos / piratería de juegos, el desbloqueo de funciones secretas en las aplicaciones o la obtención de dinero gratis, a menudo inducen a los usuarios a tocar un atajo y ver a dónde conduce.

Según la experiencia de nuestros investigadores, los usuarios pueden caer en la ingeniería social y terminar instalando y ejecutando aplicaciones o códigos maliciosos en sus dispositivos.

Usando los atajos de Siri de forma más segura

Los atajos de Siri tienen sus méritos y algunas preocupaciones de seguridad a tener en cuenta. Sin embargo, es posible utilizar esta funcionalidad de una manera más segura.

  1. Nunca instale un acceso directo desde una fuente no confiable.
  2. Verifique los permisos que solicita el acceso directo y nunca otorgue permiso a partes de su teléfono con las que no se sienta cómodo. Se pueden usar cosas como fotos, ubicación y cámara para obtener información confidencial.

Siri Atajo en iOS12

  1. Use el botón mostrar acciones antes de instalar un acceso directo de terceros para ver las acciones subyacentes que podría tomar el acceso directo. Busque cosas como mensajes de datos a números que no reconoce, enviar datos por correo electrónico o hacer conexiones de servidor SSH a servidores.

Comprobación de permisos para el acceso directo de Siri

Apple controla el control de parches centralizado

Siri Shortcuts es una característica nativa de iOS12; sin embargo, para utilizar accesos directos personalizados, uno debe descargar la aplicación Accesos directos de la tienda de aplicaciones de Apple.

Esto le da a Apple la capacidad de parchear / actualizar la funcionalidad de la aplicación Accesos directos sin tener que actualizar la versión completa del sistema operativo.

Los usuarios deben ser muy selectivos con los permisos de la aplicación

También es importante tener en cuenta que el uso de los accesos directos está diseñado para, y por lo tanto, requiere mucha interacción del usuario.

Primero, los usuarios deben descargar e instalar el acceso directo desde una fuente compartida, y luego tocarlo manualmente para ejecutar. Los usuarios también deben otorgar acceso a fotos, contactos o cualquier información confidencial a la que el acceso directo también quiera acceder.

Un recordatorio para validar cualquier cosa que instale en su dispositivo móvil como Accesos directos le permite ver todo lo que el script es capaz de hacer antes de instalar. Por muy tentador que sea simplemente pasar el texto y aceptar la aceptación, los usuarios deben conocer mejor las buenas prácticas de seguridad, que incluyen leer y comprender todo lo que autorizan para ejecutar en su dispositivo.

 

Por John Kuhn, investigador principal de amenazas, IBM Managed Security Services