Secondo i ricercatori di sicurezza della IMB Security, le Siri Shortcuts introdotte da Apple con iOS 12 possono essere sfruttate per diffondere malware, estrarre dati e chiedere agli utenti di pagare riscatti in denaro per riappropriarsi dei propri dati.
Secondo i ricercatori, tutto questo è possibile perché Siri Shortcuts è una delle funzionalità più potenti e intrusive presenti attualmente su iOS.
Le scorciatoie Siri sono state create per consentire agli utenti di automatizzare una sequenza di operazioni che possono essere richiamate utilizzando i comandi vocali di Siri. Oltre a poter creare Siri Shortcuts, gli utenti iOS possono anche scaricare l’app Comandi dall’App Store per accedere a migliaia di altri collegamenti, oltre a poter sfruttare le scorciatoie integrate in tantissime app.
Le Siri Shortcuts supportano una vasta gamma di operazioni, dallo spostamento di file all’apertura di app, passando a funzioni più complesse come il caricamento di contenuti online.
Sono proprio queste caratteristiche che, secondo l’esperto in sicurezza di IBM John Kuhn, possono essere sfruttate da malintenzionati:
Usando Siri per scopi dannosi, è possibile creare scorciatoie per scareware, le campagne di pseudo riscatto per cercare di spaventare le vittime e indurle a pagare un criminale informatico facendogli credere che i loro dati siano nelle mani di altre persone.
Le scorciatoie Siri con richieste di riscatto sono facili da creare. Inoltre, gli autori degli attacchi possono utilizzare gli script per raccogliere i dati dal telefono, per poi utilizzarli per conferire alla minaccia maggiore autenticità.
Lo script dannoso può anche essere realizzato per aprire automaticamente una pagina web che mostra una richiesta di riscatto, e questa pagina web può visualizzare i dati di esempio caricati pochi secondi prima dal telefono della vittima.
Kuhn afferma che questi schemi di attacco potrebbero sembrare abbastanza semplici e innocui agli occhi di utenti più esperti, ma una persona meno esperta potrebbe facilmente cascare nella trappola e pagare la somma richiesta: “C’è una ragione per cui gli scareware e le truffe di questo tipo sono efficienti ancora oggi, nel 2019, anche se sono in circolazione da più di 20 anni. Gli utenti non tecnici non possono sempre distinguere una minaccia vuota da una minaccia valida, specialmente quando provengono dal loro telefono“.
Inoltre, Kuhn sostiene che un malware creato tramite Siri Shortcut può essere trasformato in un worm che invia automaticamente l’intero elenco di contatti di una vittima con un link alla sua fonte. Un sistema di questo tipo può anche diffondere collegamenti di download a malware ancora più potenti, non solo ad altre scorciatoie Siri.
Scopri le migliori Siri Shortcuts per il tuo iPhone
Kuhn e il team IBM X-Force consigliano agli utenti di prendere le stesse precauzioni delle normali app iOS: installare solo Shortcuts sicure, provenienti da fonti affidabili.