Các nhà nghiên cứu sử dụng Siri đánh cắp dữ liệu từ iPhone

Siri, trợ lí cá nhân ảo và công cụ nhận biết giọng nói của Apple có thể bị lợi dụng nhằm đánh cắp các thông tin nhạy cảm từ điện thoại thông minh iOS.

Luca Caviglione đến từ National Research Council của Ý và Wojciech Mazurczy của trường đại học Warsaw University of Technology cảnh báo rằng nhân tố độc hại có thể sử dụng Siri đánh cắp các dữ liệu có giá trị bằng cách sử dụng phương pháp dựa trên steganography, một kĩ thuật dấu thông tin.

Malware có thể sử dụng kĩ thuật ngày càng phổ biến hơn. Ví dụ, tin tặc phát triển malware Duqu, Alreon và Zeus đều sử dụng tệp tin trông giống như hình ảnh để truyền tải dữ liệu và kết nối C&C. Các mối đe dọa khác sử dụng lưu lượng tạo bởi ứng dụng nổi tiếng như Skype để dấu dữ liệu.

Malware iOS cũng ngày càng phổ biến hơn nhưng phần nhiều trong số đó đều rất dễ phát hiện. Tuy nhiên, Mazurczy và Caviglione đã chứng minh rằng malware iOS  có thể trở nên tàng hình rất khó phát hiện. Khi người dùng trò truyện với Siri, giọng nói của họ được xử lí với Speex Codec và dữ liệu truyền tải đến máy chủ Apple nơi giọng nói được dịch sang văn bản. Phương pháp tấn công phát triển bởi các nhà nghiên cứu được gọi là iStegSiri liên quan đến việc kiểm soát các khối lưu lượng cùng với dữ liệu nhạy cảm từ thiết bị. Nó chuyển các kênh có thể sử dụng để gửi mã số thẻ tín dụng, Apple ID và các thông tin nhạy cảm khác từ điện thoại đến tin tặc.

Một cuộc tấn công iStegSiri diễn ra trong ba giai đoạn. Trong giai đoạn đầu tiên, thông điệp bí mật được chuyển vào dưới dạng âm thanh. Sau đó âm thanh cung cấp cho Siri thông qua microphone. Cuối cùng tin tặc sẽ thu thập luồng dữ liệu gửi đến máy chủ Apple và trích xuất những thông tin dựa trên một chương trình giải mã.

Các nhà nghiên cứu vẫn chưa công bố chi tiết về iStegSiri nhằm ngăn chặn tội phạm mạng có thể lợi dụng để tấn công người dùng.

Securityweek