В iOS 12 появилось новое приложение Команды Siri для создания собственных запросов и скриптов для голосового ассистента. Мошенники тоже могут использовать эту фичу для обмана пользователей.
Старший исследователь безопасности IBM Джон Кун рассказал, что через определённые команды злоумышленники могут развести доверчивых юзеров на деньги.
Используя Siri в злонамеренных целях, можно создать ярлыки программ-шпионов с целью заставить жертв заплатить преступнику, при этом убедив, что их данные находятся в руках злоумышленника.
— Джон Кун
Такие «ярлыки» собирают определённые данные (контакты, адрес, фото/видео и другое) с iPhone и используют их для вымогательства.
Ниже демонстрация простенького обмана через Команды Siri. Приложение локально выводит адрес и IP человека, а потом требует заплатить за неразглашение информации.
Неразбирающиеся в технике пользователи не всегда могут отличить пустую угрозу от действительной, особенно если она исходит от их смартфона.
Как защититься от мошенников
1. Никогда не скачивайте «ярлыки» из ненадежных источников. Лучше загружать их из магазина Apple, там все скрипты модерируются.
2. Всегда проверяйте разрешения, к которым ярлык запрашивает доступ, прежде чем переходить к процессу установки.
3. Перед установкой нажимайте Показать действия, чтобы увидеть внутреннюю структуру скрипта и понять, что он делает.
Ищите сомнительные пункты, вроде отправки данных на неизвестные номера или по электронной почте, либо подключения к SSH-серверу. Это всё не должно использоваться Командами Siri. [SI]
21 комментариев