В чем заключается уязвимость Siri
Злоумышленник получил доступ к чужому и заблокированному айфону. Он вызывает Siri и просит ее отправить сообщение на номер СМС-банка, например, на номер 900, а потом диктует команду, например, о том, чтобы перевести 5000 рублей на свою карточку или пополнить баланс своего телефона на 1000 рублей. В ответном сообщении СМС-банк пришлет код, для того чтобы подтвердить операцию. Поскольку код не виден в уведомлении, злоумышленник попросит Siri зачитать последнее СМС. Помощница прочитает сообщение вместе с кодом, а злоумышленник продиктует код для сообщения СМС-банку и получит деньги. Об уязвимости впервые сообщило издание РБК в октябре прошлого года, в июле газета «Ведомости» обнаружила, что уязвимость все еще не закрыта.
Какие версии iOS подвержены уязвимости
В конце марта вышло обновление 10.3, которое запретило помощнице «отображать содержимое текстовых сообщений на заблокированном устройстве». Теперь, если попросить Siri прочитать последние сообщения, она сначала потребует разблокировать айфон, а потом перейдет в приложение с СМС. Во время подготовки материала у нас не получилось перевести деньги через СМС-банк и Siri на iPhone 5 с iOS 10.3.1 — помощница просила ввести код разблокировки. Но во время других тестов — на iPhone 5 с iOS 10.3.2, на iPhone 6 с iOS 10.3.2 и на iPhone 4s с iOS 9.3.5 — она все же прочитала сообщения с кодом, который подтверждал перевод денег с карты, на экране блокировки. Во время тестов на iPhone 4s с iOS iOS 9.3.5 помощница иногда отказывалась читать сообщение и просила вводить пароль разблокировки, если ее просили прочитать одно последнее сообщения, а не несколько сообщений. На всех айфонах был установлен пароль.
Владельцев банковских карт, которые подключили услугу СМС-банка. Клиенты Сбербанка через СМС пополняют баланс телефона и переводят деньги на другие карты. За сутки разрешается перевести на чужие карточки не больше 8000 рублей и внести на счет телефона не больше 1500 рублей. Переводы одобряются кодом из пяти цифр.
В «Тинькофф Банке» с помощью СМС пополняют баланс телефона. Для этого в сообщении указывают последние четыре цифры банковской карты, с которой спишутся деньги. Это усложнит работу злоумышленнику: ему нужно иметь доступ к айфону и знать данные карты.
Альфа-банк через СМС переводит деньги и пополняет баланс телефона. Операции подтверждаются длинным кодом с буквами и цифрами, который сложно записать при помощи Siri. За сутки у Альфа-банка по СМС разрешается пополнить баланс телефона на сумму до 500 рублей. А денежные переводы работают только между картами Альфа-банка.
Некоторые банки не переводят деньги между картами с помощью СМС, а только пополняют баланс телефона. Так работают Райффайзенбанк, Московский индустриальный банк, банк «Русский стандарт», МТС-банк, Газпромбанк.
Как закрыть уязвимость в своем айфоне
Обновитесь до версии iOS 10.3 или выше. Если обновиться не получилось или уязвимость не пропала, воспользуйтесь следующими советами.
Если часто пользуетесь СМС-банком, но редко говорите с Siri, запретите помощнице работать на заблокированном экране (это делается в настройках во вкладке Siri). Она перестанет слушать команды до разблокировки айфона.
Если часто говорите с Siri, но редко пользуетесь СМС-банком, отключите СМС-банк. У Сбербанка нужно отправить СМС с цифрой 0 на номер 900, у «Тинькофф Банка» СМС-банк отключают в приложении (во время подготовки материала счет телефона удалось пополнить даже после отключения СМС-банка). Чтобы отключить СМС-банк у Райффайзенбанка и Альфа-банка, нужно обратиться в отделение или в техническую поддержку по телефону. У такого решения есть существенный минус: перестанут приходить сообщения о последних платежах и переводах с карты и вы можете вовремя не заметить, что по вашей карте совершаются неизвестные платежи.
В Siri были и другие уязвимости
Это не первая уязвимость. В iOS 7 через Siri можно было зайти в приложение для звонков. В iOS 9 через ошибку в Siri открывался доступ к чужим контактам и фотографиям на заблокированном айфоне. В iOS 10 обнаружили способ обойти блокировку айфона с помощью Siri и звонка по FaceTime. С помощью дыры в системе безопасности недоброжелатель получал доступ к контактам, сообщениям и фотографиям (но для этого ему нужно было знать номер телефона жертвы). В прошлом году американец рассказал на Reddit историю о том, как сосед через окно попросил у Siri открыть дверь в его дом, и помощница выполнила просьбу. Во всех случаях проблема решалась отключением Siri на экране блокировки.