Một công ty bảo mật vừa chứng minh tính năng Siri có thể bị khai thác bởi tin tặc để hỗ trợ lừa đảo qua mạng.
Phương thức khai thác dựa vào tính năng xác định thông tin những số điện thoại không lưu trong danh bạ của Siri và gây hiểu lầm cho người dùng. Khi Siri không biết được người gọi là ai, trợ lý ảo này sẽ sử dụng nhiều cách khác nhau để cố gắng tìm kiếm thông tin của số điện thoại lạ.
Sau đó, phần mềm sẽ hiển thị tên trên màn hình cuộc gọi đến dưới dạng “Có thể là: Tên nào đó“.
Lưu ý “Có thể là” để nói rõ Siri không chắc chắn về danh tính thực sự của người gọi, nhưng vẫn dễ dàng gây hiểu lầm cho người dùng khi định hướng đến một người nào đó và dễ dàng bị lừa đảo. Ví dụ như tên của ngân hàng, tên của nhân viên tài chính…
Dưới đây là cách công ty bảo mật Wandera đã sử dụng để khai thác lừa đảo:
Đầu tiên là tin tặc gửi những email dùng tên muốn giả mạo cho nạn nhân (Ví dụ VCB), trong email chứa thông tin số điện thoại giả mạo ở chữ kí. Nếu email được phản hồi dù là nạn nhân trả lời hay tự động trả lời, thì khi tin tặc sử dụng số điện thoại đó gọi đến, tên hiển thị sẽ là “Có thể là: VCB”.
Cách thứ 2 còn đơn giản hơn thông qua tin nhắn. Nếu không được lưu trong danh bạ, iPhone sẽ dựa vào các danh từ danh xưng chứa trong tin nhắn đến từ số điện thoại đó ví dụ “VTB”. Sau đó sử dụng tên “Có thể là: VTB” để hiển thị cho các cuộc gọi đến.
Apple đã chặn các cụm từ cố định như “Ngân hàng, Tín dụng…” nhưng nếu tin tặc sử dụng các danh từ riêng có tên của ngân hàng nổi tiếng đều có thể vượt qua. Lỗ hổng này xuất hiện từ khi iOS 9 được ra mắt.
Wandera đã báo cáo cho Apple từ hồi tháng 4, nhưng Táo Khuyết cho rằng đây không phải là một lỗ hổng bảo mật. Hãng đã ghi nhận đây là vấn đề phần mềm.
Theo 9to5mac