Hey Siri, va chercher mon café…

Hey Siri, va chercher mon café…

Avec l’introduction d’iOS 12 par Apple pour tous leurs appareils mobiles pris en charge, est venu un nouvel utilitaire puissant pour l’automatisation des tâches courantes appelé Siri Shortcuts.

Cette nouvelle fonctionnalité peut être activée via des développeurs tiers dans leurs applications ou personnalisée par les utilisateurs téléchargeant l’application des raccourcis à partir du store d’applications. Une fois téléchargée et installée, l’application Raccourcis permet aux scripts d’exécuter des tâches complexes sur les appareils personnels des utilisateurs.

Cependant, l’accès au téléphone à partir des raccourcis Siri présente également certains risques de sécurité découverts par X-Force IRIS et signalés à l’équipe de sécurité d’Apple. Cet article fournit des informations sur les scénarios d’attaque potentiels à l’aide de raccourcis et rappelle aux utilisateurs qu’il est essentiel de maintenir un contrôle strict sur les autorisations des applications pour renforcer la sécurité des appareils et la façon dont nous les utilisons.

Les raccourcis rendent la vie plus facile, non? 

Voulez-vous allumer toutes vos lumières en disco, jouer votre bande-son préférée et envoyer un SMS à vos amis? Ou peut-être effectuer des calculs mathématiques complexes avec une seule commande vocale? Les raccourcis Siri peuvent vous aider à y parvenir et faciliter davantage les interactions des utilisateurs avec leurs appareils, directement à partir de l’écran de verrouillage ou via les applications existantes qu’ils utilisent. Ces raccourcis peuvent également être partagés entre les utilisateurs, à l’aide de l’application elle-même via iCloud, ce qui signifie qu’ils peuvent être échangés assez facilement. 

Au-delà des utilisateurs souhaitant automatiser leurs activités quotidiennes, les développeurs d’applications peuvent créer des raccourcis et les présenter à leur base d’utilisateurs à partir de leurs applications. Le raccourci peut alors apparaître sur l’écran de verrouillage ou dans ‘rechercher’ s’il est jugé approprié de le montrer à l’utilisateur en fonction de l’heure, du lieu et du contexte. Par exemple, un utilisateur s’approche de son café habituel et l’application correspondante affiche un raccourci à l’écran pour lui permettre de commander la tasse de café habituelle et de la payer avant même d’entrer dans le café. 

Ces raccourcis constituent un ajout intéressant aux fonctionnalités de Siri, mais tout en permettant des fonctionnalités étendues et une personnalisation de l’utilisation de Siri, certains scénarios moins favorables doivent être envisagés. 

Les attaquants peuvent aussi abuser des raccourcis Siri

Les raccourcis Siri peuvent être un outil utile pour les utilisateurs et les développeurs d’applications qui souhaitent améliorer le niveau d’interaction des utilisateurs avec leurs applications. Mais cet accès peut potentiellement aussi être abusé par des tiers malveillants. Selon les recherches effectuées par X-Force IRIS, l’utilisation des raccourcis Siri doit tenir compte de problèmes de sécurité. 

Siri demande une rançon?

En utilisant Siri à des fins malveillantes, des raccourcis pourraient être créés pour les scarewares, une pseudo campagne de rançon visant à persuader les victimes de payer un criminel en leur faisant croire que leurs données sont entre les mains d’un attaquant distant. 

En utilisant la fonctionnalité de raccourci native, un script pourrait être créé pour exprimer les demandes de rançon au propriétaire du périphérique en utilisant la voix de Siri. Pour donner plus de crédibilité au schéma, les attaquants peuvent automatiser la collecte de données à partir de l’appareil et le renvoyer à l’adresse physique actuelle de l’utilisateur, à l’adresse IP, au contenu du presse-papiers, aux photos / vidéos stockées, aux informations de contact, etc. Ces données peuvent être affichées à l’utilisateur pour les convaincre qu’un attaquant peut les utiliser à moins de payer une rançon. 

Pour déplacer l’utilisateur vers le stade du paiement par rançon, le raccourci pourrait accéder automatiquement à Internet, en naviguant vers une URL contenant des informations de paiement via des portefeuilles crypto-monnaie, et exiger que l’utilisateur paye ou voit leurs données supprimées ou exposées sur Internet.

Plus on est de fous, plus on rit 

Pour ajouter à ce scénario, le raccourci malveillant peut également être configuré pour se propager à d’autres périphériques en envoyant un message à tous les destinataires de la liste de contacts de la victime, les invitant à télécharger et installer le même raccourci. Ce serait une méthode de distribution rentable et difficile à détecter, provenant d’un contact de confiance. 

Dans une vidéo que nous avons créée, nous montrons comment les fonctionnalités natives peuvent être utilisées pour convaincre de menaces de rançon les personnes qui exécutent un raccourci Siri malveillant.

Dans une vidéo que nous avons créée, nous montrons comment les fonctionnalités natives peuvent être utilisées pour convaincre de menaces de rançon les personnes qui exécutent un raccourci 

Faites attention aux étapes suivantes de la vidéo:

1. Le raccourci est configuré pour collecter des données personnelles sur le périphérique:

  • Il peut collecter des photos à partir de la pellicule.
  • Prendre le contenu du presse-papiers.
  • Obtenir l’adresse physique de l’emplacement du périphérique.
  • Rechercher l’adresse IP externe.
  • Obtenir le modèle de l’appareil.
  • Obtenir l’opérateur mobile actuel de l’appareil

2. Le raccourci Siri peut envoyer l’information à un tiers; Ces données peuvent également être envoyées via SSH au serveur de l’attaquant à l’aide de la fonctionnalité native.

3. Le raccourci peut régler la luminosité et le volume de l’appareil à 100%

4. Il peut allumer et éteindre la lampe de poche tout en vibrant en même temps pour attirer l’attention de l’utilisateur et lui faire croire que son appareil a été pris en main. 

5. Le raccourci peut être interprété comme une note de rançon qui peut inclure des données personnelles convaincantes pour inciter l’utilisateur à croire l’attaquant. Par exemple, il peut indiquer l’adresse IP et l’adresse physique de la personne et demander le paiement. 

6. Le raccourci peut également être programmé pour afficher ensuite la note parlée dans un format d’alerte écrit sur le périphérique. 

7. Pour inciter l’utilisateur à payer, le raccourci peut être configuré pour ouvrir une page Web, accéder à une URL contenant des informations de paiement vers un portefeuille crypto-monnaie, ou à une page de phishing exigeant des informations de compte / carte de paiement [1]. 

8. Si les raccourcis Siri peuvent être partagés entre les utilisateurs, ils peuvent également envoyer un lien à tous les utilisateurs de la liste de contacts de l’utilisateur, ce qui lui confère une fonctionnalité semblable à un vermicualaire [2], facile à déployer mais plus difficile à détecter. 

[1] Non montré dans cette vidéo

[2] Non montré dans cette vidéo 

Pas seulement une rançon 

Dans nos laboratoires de recherche sur la sécurité, nous avons testé le scénario d’une attaque par rançon. Le raccourci que nous avons créé s’appelle «Ransom» dans la vidéo, mais il peut facilement être nommé n’importe quel autre nom pour inciter les utilisateurs à l’exécuter. Les leurres, tels que les astuces de jeu / le piratage, le déverrouillage de fonctionnalités secrètes dans les applications ou l’obtention d’argent gratuit, incitent souvent les utilisateurs à utiliser un raccourci pour voir où il mène. 

Selon l’expérience de nos chercheurs, les utilisateurs peuvent devenir la proie de l’ingénierie sociale et finir par installer et exécuter du code ou des applications malveillants sur leurs appareils.

Utilisation plus sûre des raccourcis Siri 

Siri Shortcuts a ses avantages et certaines préoccupations de sécurité à prendre en compte. Il est toutefois possible d’utiliser cette fonctionnalité de manière plus sûre. 

1. N’installez jamais un raccourci à partir d’une source non fiable.

2. Vérifiez les autorisations demandées par le raccourci et n’autorisez jamais les parties de votre téléphone avec lesquelles vous n’êtes pas à l’aise. Des éléments tels que des photos, l’emplacement et l’appareil photo pourraient être utilisés pour obtenir des informations sensibles. 

3. Utilisez le bouton Afficher les actions avant d’installer un raccourci tiers pour voir les actions sous-jacentes que le raccourci peut entreprendre. Recherchez des éléments tels que la messagerie de données vers des numéros que vous ne reconnaissez pas, l’envoi de données par courrier électronique ou l’établissement de connexions de serveur SSH avec des serveurs. 

Apple contrôle le contrôle de patch centralisé

Les raccourcis Siri sont une fonctionnalité native d’iOS12; Toutefois, pour utiliser des raccourcis personnalisés, vous devez télécharger l’application Raccourcis à partir de l’App Store d’Apple. Cela permet à Apple de corriger / mettre à jour la fonctionnalité de l’application Raccourcis sans avoir à mettre à jour la version complète du système d’exploitation. 

Les utilisateurs doivent être très sélectifs avec les autorisations de l’application

Il est également important de noter que l’utilisation des raccourcis est conçue pour nécessiter beaucoup d’interaction de la part de l’utilisateur. Tout d’abord, les utilisateurs doivent télécharger et installer le raccourci à partir d’une source partagée, puis taper dessus manuellement pour l’exécuter. Les utilisateurs doivent également autoriser l’accès aux photos, aux contacts ou aux données sensibles que le raccourci souhaite également accéder. 

Un rappel pointu pour valider tout ce que vous installez sur votre appareil mobile en tant que raccourcis vous permet de voir tout ce que le script est capable de faire avant de l’installer. Les utilisateurs doivent être plus conscients des bonnes pratiques de sécurité, y compris la lecture et la compréhension de tout ce qu’ils autorisent à exécuter sur leur appareil.

Source : John Kuhn, chercheur principal sur les menaces, IBM Managed Security Services

 

Nouvelle année, nouveaux risques: 3 résolutions de sécurité des applications à adopter en 2019