יבמ מזהירה מפני סיכוני אבטחה בקיצור הדרך לסירי של אפל

ה-Shortcuts, אותם קיצורי דרך לסירי, שאפל מציעה מאז שהשיקה את מערכת ההפעלה האחרונה שלה, iOS 12, כוללים נתיב מקוצר שדרכו משתמשים החלו לגשת לעוזרת הקולית שלהם במקרים מסוימים. למעשה התוכנה מאפשרת בעצם לבקש מהעוזרת הקולית דבר מה בודד, שמאחוריו עומדות פעולות רבות, ובכך מקצרת ומייעלת את השימוש בסירי, בדומה לרוטינות של גוגל ואמזון. אלא שכעת חושפת יבמ שהקיצור עלול להוות גם סיכון.

חברת Workflow, מפתחת צד שלישי שנרכשה על ידי אפל, היא העומדת מאחורי רשימות קיצורי הדרך לסירי, הזמינים כתוכנה, שכאמור מאפשרים למשתמשים להשתמש בדרכים חדשות בכדי לתקשר עם היישומים שלהם ולמנף תכונות שלהם. בנוסף, יש גם קיצורי דרך שתרמו גורמי צד שלישי אחרים.

ומכיוון שהחידוש בדמות קיצורי הדרך לסירי יצר עניין והפך לפופולרי, ושרבים הורידו אותו מה-App Store, יש גם מי שמנצלים את התוסף כפרצה לפגיעות סייבר שונות במשתמשים. בין השאר מכוונים ההאקרים לפגוע במשתמשים שאינם מתמצאים בטכנולוגיה, לבשר להם שעליהם לשלם מעין אגרה, ולגרום לכך שיבהלו וישלמו את מה שהוא למעשה דרישת כופר, בסוג מתקפה המכונה ScareWare.

על הפגיעות הצביעה חטיבת האבטחה של יבמ, שגילתה כי ניתן להשתמש ב-Siri Shortcut למטרות זדוניות. כהוכחה להצלחה בהשקת מתקפות ScareWare דרך התוכנה, פותחה התקפה על ידי יבמ, והחברה הדגימה כי קיצור דרך זדוני היה מסוגל לקרוא מידע ממכשירי iOS ולאחר מכן לדרוש תשלום מהמשתמש. "ה-X-Force של יבמ לא ראה עדויות להתקפות שבוצעו בשיטה זו, אך פיתחנו את הוכחת המושג כדי להזהיר את המשתמשים מפני הסכנות הפוטנציאליות", אמר ל-eWEEK ג'ון קון, חוקר בכיר בתחום סיכוני אבטחה ב-IBM X-Force IRIS.

לא משלמים – בודקים או מסירים

למעשה, בכדי שה-Siri Shortcuts יהיו שימושיים, המשתמש חייב להתיר לתוכנה רמה מסוימת של פונקציונליות, וגורמים המונעים ממטרות זדוניות מנצלים את מדיניות זו, בשילוב עם חוסר ידע באבטחת סייבר, שרבים מהמשתמשים מתאפיינים בו, בכדי להצליח להבהיל ולסחוט כספים. ההאקרים מצליחים להפעיל תכונות שונות, החל מנעילת המסך והמשך בהדלקת הפנס, ולשלב במהלכים אלו הודעות אזהרה שטוענות שביכולתם להעלות את תוכן המכשיר לאינטרנט. לקיצורי הדרך של סירי יש מנעד פונקציונלי רחב, שמנוצל במלואו על ידי ההאקרים שרוצים להעביר הודעות מאיימות.

אבל יש עוד סיכונים – כי קיצור הדרך עלולים לשמש גם לתולעת ריגול, להעלאת נתוני משתמש לשרת מרוחק, או אפילו למכות בדמות תוכנה זדונית חזקה או מתוחכמת יותר.

צוות האבטחה של יבמ מציע שאפל תתייחס לקיצורים כאל יישומי iOS רגילים – תבדוק אותם בקפידה, וכן את קיצורי דרך מתוצרת המשתמש, ממש כפי שהיא נוהגת עם יישומים שמוצעים ב-App Store שלה.

למי שלא נרתעים מהחשיפה הזו, ורוצים בכל זאת להפעיל את קיצורי הדרך לסירי, ממליצים ביבמ להתקין אותם ממקורות אמינים ולקרוא טוב טוב את ההרשאות הנדרשות לפני אישור ההתקנה. אחרי ההתקנה, ממליץ צוות האבטחה לעקוב אחרי תעבורת הרשת ומצב הסוללה כדי לזהות פעילות חשודה בזמן.

אבל הכי חשוב, אם מקבלים הודעת אזהרה המבקשת תשלום כופר – לא לאבד את העשתונות. ראשית, לא לשלם כלום לאף אחד – ואז להתחיל לחקור את ה-Siri Shortcuts בכדי לבדוק איזה קיצור הוא מקור הבעיה, או פשוט להסיר אותם לגמרי.

אפל לא הגיבה לטענות של יבמ.