ผู้ช่วยส่วนตัวของ Apple พยายามเชื่อมโยงผู้คนกับหมายเลขโทรศัพท์ ซึ่งสามารถเล่นกลกับหมายเลขได้หากแฮกเกอร์แย่งชิงฟังก์ชันนี้
หากคุณได้รับสายหรือข้อความจากใครบางคนบน iPhone ของคุณ คุณอาจตกเป็นเหยื่อของความพยายามฟิชชิ่งโดยใช้ Siri แท้จริงแล้วผู้ช่วยส่วนตัวของ Apple พยายามเดาชื่อที่เกี่ยวข้องกับหมายเลขโทรศัพท์หากไม่มีอยู่ในสมุดที่อยู่ ฟังก์ชันนี้มีให้บริการตั้งแต่ปี 2558 ซึ่งใช้งานได้จริง แต่แฮกเกอร์สามารถถูกแย่งชิงได้ ดังที่แสดงโดยบริษัท Wandera ซึ่งเชี่ยวชาญด้านโซลูชั่นความปลอดภัย
บริษัทสามารถส่งข้อความโต้ตอบแบบทันที iMessage ไปยังนักข่าว Robert Hackett โดยสวมรอยเป็น Alan Murray ประธานนิตยสาร Fortune ข้อความนี้มีลิงก์ไปยังไซต์ Microsoft Office 365 ปลอม
เมื่อมองแวบแรก ข้อความดูเหมือนเป็นทางการ แต่คุณควรใส่ใจกับการกล่าวถึงบางที: ปรากฏหน้าชื่อผู้ส่ง เนื่องจากการกล่าวถึงนี้บ่งชี้ว่า Siri พยายามตรวจสอบว่าใครคือผู้ส่ง เพื่อดักจับ Robert Hackett (ด้วยความยินยอมของเขา) นักวิจัยของ Wandera ได้ส่ง iMessage พร้อมหมายเลขโทรศัพท์ปลอม แต่มีประโยคแรกว่า "It's Alan Murray" Siri จึงพิจารณาว่านี่อาจเป็นชื่อผู้ส่ง
ระวังการขโมยข้อมูลประจำตัว
เทคนิคนี้ยังใช้ได้กับอีเมลอีกด้วย แฮกเกอร์สามารถส่งอีเมลโดยใช้ชื่อผู้ส่งปลอม (การปลอมแปลง) เช่น “ACME Finances” และหมายเลขโทรศัพท์ปลอมในข้อความ หากเหยื่อตอบกลับอีเมล เช่น ผ่านข้อความเมื่อไม่อยู่ที่สำนักงาน Siri จะเชื่อมโยงหมายเลขโทรศัพท์ปลอมกับชื่อปลอมโดยอัตโนมัติ ทั้งหมดที่แฮ็กเกอร์ต้องทำคือส่งข้อความหรือโทรออกด้วยหมายเลขโทรศัพท์ปลอมเพื่อให้ปรากฏบนหน้าจอ iPhone ในตัวอย่างของเรา "อาจจะ: ACME Finances" อย่างไรก็ตาม ดูเหมือนว่ากระบวนการนี้ใช้ไม่ได้กับชื่อทั่วไป เช่น "ธนาคาร" และ "เครดิตยูเนี่ยน" ในทางกลับกัน แฮกเกอร์สามารถใช้ชื่อที่เฉพาะเจาะจงมากขึ้นได้โดยไม่มีปัญหา เช่น Crédit Mutuel หรือ BNP Paribas
Wandera ติดต่อ Apple เมื่อวันที่ 25 เมษายนเกี่ยวกับปัญหานี้ แต่บริษัทตอบว่าไม่ได้พิจารณาว่าเป็น "ช่องโหว่ด้านความปลอดภัย" Apple ไม่ได้ระบุว่าปัญหานี้จะได้รับการแก้ไขเมื่อใด
แหล่งที่มา :โชค
🔴 เพื่อไม่ให้พลาดข่าวสารจาก 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
