Por John Kuhn* – Com a introdução do iOS 12 para todos os dispositivos móveis suportados pela Apple, surgiu um novo e poderoso utilitário para a automação de tarefas comuns, chamado Siri Shortcuts. Esse novo recurso pode ser ativado por meio de desenvolvedores de terceiros em seus aplicativos ou feito sob medida por usuários que baixam o aplicativo de atalhos da loja. Depois de baixado e instalado, o aplicativo Atalhos garante o poder do script para executar tarefas complexas nos dispositivos pessoais dos usuários.
Mas acessar o telefone do Siri Shortcuts também apresenta alguns possíveis riscos de segurança que foram descobertos pelo X-Force IRIS e reportados à equipe de segurança da Apple. Esta postagem fornece algumas dicas sobre os possíveis cenários de ataque usando atalhos e lembra aos usuários que manter uma porta firme nas permissões de aplicativos é uma etapa essencial para melhorar a segurança dos dispositivos e o modo como os usamos.
Atalhos tornam a vida mais fácil, certo?
Quer transformar todas as suas luzes em discoteca, tocar sua trilha sonora favorita e enviar mensagens de texto para seus amigos? Ou talvez realizar cálculos matemáticos complexos com um único comando de voz? Os Atalhos Siri podem ajudar a fazer isso e facilitar muito mais a interação do usuário com seus dispositivos, diretamente da tela de bloqueio ou dos aplicativos existentes que eles usam. Esses atalhos também podem ser compartilhados entre usuários, usando o próprio aplicativo via iCloud, o que significa que eles podem ser passados facilmente.
Além dos usuários que desejam automatizar as atividades diárias, os desenvolvedores de aplicativos podem criar atalhos e apresentá-los a sua base de usuários a partir de seus aplicativos. O atalho pode aparecer na tela de bloqueio ou em “pesquisa”, quando for considerado adequado mostrá-lo ao usuário com base na hora, local e contexto. Por exemplo, um usuário se aproxima de sua cafeteria habitual, e o aplicativo relevante exibe um atalho na tela para permitir que eles peçam a xícara normal de café e paguem por ele no aplicativo antes mesmo de entrar na cafeteria.
Esses atalhos são uma boa adição à funcionalidade do Siri, mas, embora permitam a funcionalidade estendida e a personalização do uso do Siri, há alguns cenários menos favoráveis a serem considerados.
Atalhos Siri também podem ser atacados por invasores
Os Atalhos Siri podem ser uma ferramenta útil para usuários e desenvolvedores de aplicativos que desejam aprimorar o nível de interação dos usuários com seus aplicativos. Mas esse acesso também pode ser potencialmente atacado por terceiros mal-intencionados. De acordo com a pesquisa X-Force IRIS, há preocupações de segurança que devem ser levadas em consideração ao usar os Atalhos Siri.
Siri exigindo resgate?
Usando a Siri para propósitos maliciosos, atalhos podem ser criados para scareware, uma campanha de pseudo-resgate para tentar assustar as vítimas e fazê-las acreditar que seus dados estão nas mãos de um atacante remoto.
Usando a funcionalidade de atalho nativa, um script pode ser criado para falar das demandas de resgate ao proprietário do dispositivo, usando a voz da Siri. Para dar mais credibilidade ao esquema, os invasores podem automatizar a coleta de dados do dispositivo e fazer com que ele retorne o endereço físico atual do usuário, o endereço IP, o conteúdo da área de transferência, fotos/vídeos armazenados, informações de contato e muito mais. Esses dados podem ser exibidos ao usuário para convencê-los de que um invasor pode utilizá-lo, a menos que pague um resgate.
Para mover o usuário para o estágio de pagamento do resgate, o atalho pode acessar automaticamente a internet, navegando até uma URL que contém informações de pagamento por meio de carteiras de criptografia e exigir que o usuário pague ou veja seus dados excluídos ou expostos na internet.
Quanto mais melhor
Para adicionar a esse cenário, o atalho malicioso também pode ser configurado para se espalhar para outros dispositivos enviando mensagens para todos na lista de contatos da vítima, solicitando que eles baixem e instalem o mesmo atalho. Este seria um método de distribuição econômico e difícil de detectar, proveniente de um contato confiável.
Em um vídeo que criamos, mostramos como a funcionalidade nativa pode ser usada para fazer ameaças de resgate convincentes a alguém que esteja executando um Siri Shortcut malicioso.
Preste atenção aos seguintes passos no vídeo:
1 – O atalho é configurado para coletar dados pessoais do dispositivo:
. Pode coletar fotos do rolo da câmera.
. Pegue o conteúdo da área de transferência.
. Obtenha o endereço físico da localização do dispositivo.
. Encontre o endereço IP externo.
. Obtenha o modelo do dispositivo.
. Obtenha a operadora de celular atual do dispositivo
2 – O Siri Shortcut pode enviar as informações para uma parte externa. Esses dados também podem ser enviados por SSH para o servidor do invasor, usando a funcionalidade nativa.
3 – O atalho pode definir o brilho e volume do dispositivo para 100%.
4 – Ele pode ligar e desligar a lanterna do dispositivo enquanto vibra ao mesmo tempo para chamar a atenção do usuário e fazê-lo acreditar que o dispositivo foi adquirido.
5 – O atalho pode ser feito para falar uma nota de resgate que pode incluir detalhes pessoais convincentes para fazer o usuário acreditar no atacante. Por exemplo, pode indicar o endereço IP e o endereço físico da pessoa e exigir o pagamento.
6 – O atalho também pode ser programado para exibir a nota falada em um formato de alerta por escrito no dispositivo.
7 – Para empurrar o usuário para pagar, o atalho pode ser configurado para abrir uma página da web, acessar uma URL que contém informações de pagamento para uma carteira de criptografia ou uma página de phishing que exige informações de cartão de pagamento/conta [1].
8 – Para se espalhar, e como os Atalhos Siri podem ser compartilhados entre os usuários, o atalho malicioso também envia um link para todos na lista de contatos do usuário, oferecendo um recurso semelhante a um worm [2] fácil de implantar, mas mais difícil de detectar.
[1] Não mostrado neste vídeo [2] Não mostrado neste vídeoNão apenas resgate
Nos nossos laboratórios de pesquisa de segurança, testamos o cenário de ataque de resgate. O atalho que criamos foi chamado de “Ransom” no vídeo, mas poderia facilmente ser chamado de qualquer outro nome para atrair os usuários a executá-lo. Lures, como cheats/hackers de jogos, desbloqueio de funcionalidades secretas em apps ou dinheiro de graça, muitas vezes levam os usuários a tocar em um atalho e ver aonde ele leva.
A partir da experiência de nossos pesquisadores, os usuários podem ser vítimas de engenharia social e acabam instalando e executando códigos maliciosos ou aplicativos em seus dispositivos.
Usando os atalhos da Siri com mais segurança
Atalhos Siri têm seus méritos e algumas preocupações de segurança que os usuários predisam ficar cientes. Ainda assim, é possível usar essa funcionalidade de maneira mais segura.
1 – Nunca instale um atalho de uma fonte não confiável.
2 – Verifique as permissões que o atalho está solicitando e nunca dê permissão para partes do telefone com as quais você não se sente confortável. Coisas como fotos, localização e câmera podem ser usadas para obter informações confidenciais.
3 – Use o botão show actions antes de instalar um atalho de terceiros para ver as ações subjacentes que o atalho pode executar. Procure coisas como dados de mensagens em números que você não reconhece, enviando dados por e-mail ou fazendo conexões de servidores SSH a servidores.
Controle de Patch Centralizado da Apple Controls
Siri Shortcuts é um recurso nativo do iOS12. No entanto, para utilizar atalhos personalizados, é necessário fazer o download do aplicativo Atalhos da loja de aplicativos da Apple. Isso dá à Apple a capacidade de corrigir/atualizar a funcionalidade do aplicativo Atalhos sem ter que atualizar a versão inteira do sistema operacional.
Os usuários devem ser muito seletivos com permissões de aplicativo
Também é importante observar que o uso dos atalhos foi projetado para, e, portanto, requer muita interação do usuário. Primeiro, os usuários devem baixar e instalar o atalho de uma fonte compartilhada e, em seguida, tocar manualmente para executá-lo. Os usuários também devem conceder acesso a fotos, contatos ou dados confidenciais que o atalho queira acessar também.
Um lembrete agudo para validar qualquer coisa que você instalar em seu dispositivo móvel como Atalhos permite que você veja tudo o que o script é capaz antes de instalar. Por mais tentador que seja simplesmente rolar pelo texto e clicar em aceitar, os usuários precisam estar mais atentos às boas práticas de segurança, o que inclui ler e entender tudo o que eles autorizam para executar em seus dispositivos.
* John Kuhn é pesquisador sênior de Ameaças, do IBM Managed Security Services. Ele passa seus dias monitorando redes de clientes.