Enviado por fredyavila2 el Vie, 01/02/2019 - 23:18
siri shortcut

Una característica que Apple agregó en iOS 12, Siri Shortcuts, puede ser utilizada para persuadir o engañar a los usuarios para que paguen demandas de rescate, propaguen malware y para la extracción de datos, esto de acuerdo con un video de prueba de concepto publicado por investigadores de IBM Security.

Según expertos en seguridad; esto es posible ya que los accesos directos de Siri son una de las funciones más poderosas e intrusivas incluidas en las versiones modernas del sistema operativo iOS.

Los accesos directos de Siri se crearon para que los usuarios puedan automatizar una secuencia de operaciones a las que pueden llamar mediante un comando de voz de Siri. Además de poder crear los accesos directos de Siri, los usuarios de iOS también pueden descargar la aplicación oficial de accesos directos de la App Store para obtener acceso a miles de otros accesos directos creados por usuarios, y las aplicaciones de iOS que instalan también pueden instalar sus propios accesos directos de Siri.

Los accesos directos de Siri admiten una amplia gama de operaciones, desde simples tareas de movimiento de archivos o la apertura de aplicaciones, hasta otras más complejas como el bloqueo de pantalla o la carga de contenido en línea.

John Kuhn, investigador de amenazas de IBM X-Force, cree que están preparados para el abuso.

"Al usar Siri con propósitos maliciosos, se podrían crear accesos directos para scareware, una campaña de pseudo rescate para tratar de asustar a las víctimas para que paguen a un criminal haciéndoles creer que sus datos están en manos de un atacante remoto", dijo Kuhn.

El experto dice que los atajos de Siri que expresan las demandas de rescate son fáciles de crear. Además, los atacantes pueden usar los scripts para recopilar primero datos del teléfono, y usarlos en la amenaza de extorsión hablada para darle más autenticidad y un sonido más convincente.

El script malicioso se puede hacer incluso para abrir una página web que muestra una demanda de rescate, y esta página web también puede mostrar datos de muestra subidos desde el teléfono de la víctima segundos antes.

 

Esto puede sonar tonto para usuarios técnicos con conocimiento de los problemas de seguridad cibernética, pero un usuario sin conocimientos técnicos, es facilmente engañado. Hay una razón por la que los scareware y las estafas de soporte técnico son eficientes hoy, en 2019, incluso si han existido por más de 20 años. Los usuarios no técnicos, no siempre pueden distinguir una amenaza verdadera o una falsa, especialmente cuando vienen de su teléfono.

Además, Kuhn sostiene que un script malicioso de acceso directo de Siri también se puede convertir en un gusano que envía automáticamente un mensaje a toda la lista de contactos de la víctima con un enlace a su fuente, y le pide a otros que también instalen el script. También puede distribuir enlaces de descarga a un malware aún más potente, no solo a otros Atajos de Siri.

Kuhn y el equipo de IBM X-Force instan a los usuarios a tomar las mismas precauciones con los scripts que con las aplicaciones normales de iOS y las extensiones de navegador.

Los usuarios deben instalar los accesos directos de Siri solo de fuentes confiables, y siempre deben verificar los permisos a los que el acceso directo solicita acceso, antes de continuar con el proceso de instalación.

"Por muy tentador que sea simplemente pasar el texto y aceptar las condiciones, los usuarios deben estar más conscientes de las buenas prácticas de seguridad, que incluyen leer y comprender todo lo que autorizan para ejecutar en su dispositivo", dijo Kuhn.

Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila