设为首页收藏本站

安而遇随-随遇而安

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
安而遇随-随遇而安 首页 资讯 查看内容

研究人员发现Siri可被用于窃取iPhone数据

2015-1-20 15:42| 发布者: 随便、先森。| 查看: 1187| 评论: 0|来自: 360安全播报

摘要: 研究人员表示,Apple的声控个人助理Siri是一款知识导航应用程序,它可被用来从iOS智能手机中窃取敏感信息。来自意大利国家研究理事会的Luca Caviglione以及华沙技术大学Wojciech Mazurczy警告称恶意发动人员可通过使 ...

研究人员表示,Apple的声控个人助理Siri是一款知识导航应用程序,它可被用来从iOS智能手机中窃取敏感信息。

来自意大利国家研究理事会的Luca Caviglione以及华沙技术大学Wojciech Mazurczy警告称恶意发动人员可通过使用一种基于信息隐藏的方式窃取数据。

利用此类技术的恶意软件变得越来越普遍。例如,Duqu、Alureon以及Zeus的开发人员都被用在看似没有任何问题的图像文件中以传输数据并进行命令控制通信。其他威胁通过诸如Skype等流行应用程序生成的流量来隐藏数据。

iOS恶意软件也变得越来越多,但所产生的大多数威胁并不是很隐蔽。然而Mazurczy以及Caviglione已经证明,iOS恶意软件很难被检测到。

当用户对着Siri讲话时,他们的声音通过Speex Codec进行处理,随后数据被传输至Apple的服务器,在那里声音输入被转换为文本。

研究人员所开发的攻击方式被称为iStegSiri,它包括控制流量的“形状”以嵌入来自设备的敏感信息。研究人员指出,这种隐蔽信道可以把手机用户的发送信用卡号、Apple ID、密码以及其他敏感信息传送到犯罪分子的手中。

iStegSiri攻击分为三个阶段。在第一个阶段,秘密信息被转换成基于语音以及静音的音频序列。随后,这个声音模式被当做输入通过内部麦克风提供给Siri。最后,秘密信息的接受者监控到流向Apple服务器的流量并且基于解码方法提取信息。专家表示,秘密信息通过一系列特点进行标记。

研究人员在试验中设法利用这种方式以每秒0.5字节的速度进行提取。按照这种速度,将会花费大约2分钟的时间将一个16位的支付卡号发送给攻击者。

iStegSiri攻击可以是有效的,因为它不要求安装另外的软件组件,并且不需要对设备进行更改。从另外一方面讲,它仅在越狱设备上有效,而且在某种程度上,攻击者需要拦截修改后的Siri流量。然而,研究人员强调称,iStegSiri的目的是帮助安全社区对iOS平台上的恶意软件进行检测。

“因为信息隐藏方式利用非常具体的技术特点,目前并不存在可以有效检测隐蔽通信的现成产品。这迫使安全专家为每种方式编制专门的对策,”研究人员在论文中写道,“通过iStegSiri,理想的对策是对服务器起作用。例如,Apple应该对文本中的模式进行分析来看单词的顺序是否显著偏离了所使用语言的典型行为。据此,可以丢弃连接来限制隐蔽通信的数据速率。”

研究人员表示,他们尚未对外公开iStegSiri的具体细节以防止网络犯罪分子加以利用。


原文链接:http://www.securityweek.com/researchers-use-siri-steal-data-iphones


鲜花

握手

雷人

路过

鸡蛋

最新评论

  • 解决 Wn10无法连接 蓝牙耳
  • Python之Selenium知识总结
  • 2万字带你了解Selenium全攻
  • 解决网站网页不能复制,不
  • 我对ddos攻击的见解以及ufo
论坛精选
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程
NTP放大反射DDOS攻
NTP放大反射DDOS攻击扫描教程,放大列表扫描教程 图上是国外测的 本文实测 能有二三
DDOS:NTP、SSDP、DNS、SNMP、RIP 放大反射攻击、扫描脚本
DDOS:NTP、SSDP、D
NTP、SSDP、DNS、SNMP、RIP 放大反射攻击扫描脚本 不懂的 请自行谷歌 声明:本文转
返回顶部