【干货】IBM警告：苹果Siri功能存在风险

“Hey Siri”应是启动苹果数字助手的语音指令，但在攻击者眼中，这一新 Siri Shortcuts 功能是可以被滥用的。

苹果Siri的定位是方便用户的语音助手，但IBM在2019年1月31日发布的一份新研究报告指出，攻击者可以滥用该 Siri Shortcuts 功能。

苹果公司在 iOS 12 中引入了 Siri Shortcuts，令用户和开发者可指使Siri自动化一系列任务。IBM X-Force 安全部门发现，Siri Shortcuts 也可被用于恶意目的，比如所谓的恐吓软件攻击——诱骗用户支付一笔费用以避免信息被盗。IBM开发的 Siri Shortcuts 恐吓软件攻击概念验证(PoC)中，恶意快捷方式可利用原生Siri语音读取iOS设备上的信息，然后要求用户支付费用。

IBM披露 Siri Shortcuts 风险的时机正撞上苹果为FaceTime关键漏洞焦头烂额的一周。FaceTime漏洞可致用户被攻击者窃听。但与FaceTime漏洞不同 Siri Shortcuts 问题不属于苹果产品的明显漏洞。

自最初的研究发现开始，IBM就与苹果合作，共享所有研究细节，进行负责任披露。

原理

Siri Shortcuts 为用户和开发者提供强大的功能。IBM担心黑客可能会滥用该功能，以恐吓软件骗取用户支付费用。而且还有另一种可能：黑客操控 Siri Shortcuts 向受害者联系人列表中的所有人发送消息，进驻其他设备，扩展攻击的影响。

不过，Siri Shortcuts 攻击想要扩散还是会遇到几个障碍的。此类攻击需要用户安装并运行Shortcuts，很容易让人联想到用电子邮件传播的恶意软件。另外，Siri Shortcuts 也不存在“偷渡式”风险，仅仅是访问恶意网站并不会让用户遭遇 Siri Shortcuts 滥用。用户必须安装 Siri Shortcuts 应用和恶意快捷方式才会有此风险。但是，攻击者可以采用社会工程方法很容易地引诱用户这么做。

至于 Siri Shortcuts 可以访问并发回给攻击者的数据，默认设置下是有限制的。