Безопасность мобильной совокупности от Apple уже превратилась в настоящую легенду. Несмотря на иногда случающиеся с любым ПО утечки, закрытость iOS разрешает ей оставлять преступников с носом ещё до начала процедуры и не давать им шансов получить доступ к информации с устройства. Но против лома, как мы знаем, нет приёма, и вместо того, дабы пробираться в iPhone программно, хакеры решили функционировать в противном случае.
Как это ни комично, на этот раз их целью стала простая проводная гарнитура.
Пытливым умам из ANSSI — французской национальной организации, занимающейся вопросами информационной безопасности, удалось дистанционно взять частичный контроль над смартфонами при помощи фирменных голосовых помощников. Для этого хакеры применяли простое свойство наушников: в подключенном состоянии они смогут выступать в качестве антенны, по которой принимаемые сигналы поступают на гаджет и распознаются как голосовые команды его обладателя.
Расстояние, подвластное компактной «рюкзачной» версии передатчика, образовывает около двух метров, при же применения аппаратуры, размещённой в микроавтобусе, радиус возрастает более чем вдвое.
Звучит это открытие достаточно грозно: при помощи очень нехитрого комплекта из ноутбука, усилителя, антенны и особого ПО возможно вынудить аппарат жертвы делать самые разные действия, дешёвые виртуальным ассистентам наподобие Siri либо Гугл Now. Благо возможности последних непрерывно растут: сейчас помощники могут отправлять сообщения, размещать посты в соцсетях, звонить на каждые номера и без того потом. Давайте посмотрим, как авторы демонстрируют собственное изобретение на примере Android-смартфона.
Непременно, сама мысль впечатляет, но купертиновцы уже готовы дать «ответ Чемберлену». Дело в том, что при настройке «Hey Siri» новые iPhone просят обладателей дать голосовой фрагмент для предстоящего применения в качестве примера. Эта функция, как выяснилось, предотвращает не только случайные срабатывания, но и в полной мере намеренное применение Siri преступниками по вышеописанному способу. Что-то похожее присутствует и в свежих Android с Гугл Now, а вот обладателям более ветхих аппаратов, обеспокоенным возможностью слежки, может пригодиться отключать доступ к голосовым помощникам на экране блокировки.
При с iPhone это легко сделать в разделе «(Touch ID и) пароль» меню «Настройки».
Радует, что возможность успеха аналогичной атаки мала, в особенности с учётом необходимости находиться в близи от жертвы. Иначе, имитируя нажатие на кнопку гарнитуры в людном месте, хакер может свободно вынудить смартфоны, например, выполнять звонки на платные номера либо заходить на опасные сайты.
Последних для iPhone, действительно, фактически не существует, но в случае если на вашем устройстве сохраняются какие-то сверхсекретные эти национальной важности, совет сократить полномочия Siri в полной мере может понадобиться. Что касается самой ANSSI, то нашедшие уязвимость сотрудники уже связались с Apple и Гугл, предложив аппаратные методы её устранения: улучшение экранирования наушников либо установка особой микросхемы, талантливой отслеживать и блокировать нежелательные радиосигналы. Но, эксперты отмечают и наличие более несложных ответов наподобие замещения стандартных команд активации помощников отдельными фразами либо автоматического распознавания голоса обладателя.
Ответов от компаний до тех пор пока что не поступило, но в полной мере быть может, что Apple расширит перечень моделей, поддерживающих авторизацию по голосу, в новых предположениях iOS. Обновлённая функция «Hey Siri» может оказаться первым шагом на этом пути.
По данным Wired