如果您在 iPhone 上收到某人的电话或短信,您可能是使用 Siri 进行网络钓鱼的受害者。事实上,如果地址簿中没有电话号码,苹果的个人助理就会尝试猜测与电话号码相关的名字。这项功能自 2015 年开始提供,确实很实用,但可能会被黑客劫持,正如专门从事安全解决方案的 Wandera 公司所证明的那样。
该公司能够向冒充《财富》杂志社长艾伦·默里的记者罗伯特·哈克特发送一条 iMessage 即时消息。该消息包含指向虚假 Microsoft Office 365 网站的链接。
乍一看,该消息似乎是官方的,但您应该注意发件人姓名前面提到的 Maybe: 。因为这一提及表明 Siri 试图确定发件人是谁。为了诱捕罗伯特·哈克特(在他同意的情况下),Wandera 研究人员发送了一条带有假电话号码的 iMessage,但第一句话是“我是艾伦·默里”。 Siri 随后认为这可能是发件人的姓名。
谨防身份盗用
该技术也适用于电子邮件。黑客可能会发送带有虚假发件人姓名(欺骗)的电子邮件,例如“ACME Finances”和消息中的虚假电话号码。如果受害者回复电子邮件(例如通过外出消息),则 Siri 会自动将虚假电话号码与虚假姓名关联起来。黑客所要做的就是使用虚假电话号码发送消息或拨打电话,以便它在 iPhone 屏幕上显示为“也许:ACME Finances”。但是,该过程似乎不适用于“银行”和“信用合作社”等通用名称。另一方面,黑客可以毫无问题地使用更具体的名称,例如 Crédit Mutuel 或 BNP Paribas。
Wandera 于 4 月 25 日就该问题联系了苹果,但该公司回应称,并不认为这是一个“安全漏洞”。苹果尚未表明何时解决此问题。
来源 :财富
