siriOnderzoekers hebben een manier ontwikkeld waardoor het mogelijk is om gegevens van een besmette gejailbreakte iPhone via de Siri-spraakbesturing te stelen. Als gebruikers met Siri communiceren wordt hun stem tot data verwerkt en dit naar Apple gestuurd, waar de steminvoer naar tekst wordt vertaald.

Onderzoekers Luca Caviglione en Wojciech Mazurczy hebben een aanval ontwikkeld waarbij Siri wordt gebruikt om een geheim kanaal tussen een besmet apparaat en een botmaster op te zetten zodat die gevoelige gegevens als wachtwoorden, creditcardnummers en Apple ID's kan stelen.

De malware op het toestel verwerkt deze gegevens tot een audiofragment dat aan Siri wordt aangeboden. Siri zal de data vervolgens naar een remote server sturen. Een aanvaller die toegang tot het netwerkverkeer heeft kan zo de gecodeerde informatie eruit halen.

Naast de vereiste dat er toegang tot het netwerkverkeer is moet de iPhone ook gejailbreakt zijn, zo laten de onderzoekers in hun rapport weten. Via de "iStegSiri-aanval" kunnen er 0,5 bytes per seconde worden verstuurd. Het versturen van een creditcardnummer bestaande uit 16 cijfers duurt op deze manier zo'n 2 minuten. De onderzoekers vertellen tegenover IEEE dat ze met hun onderzoek vooral willen laten zien hoe steganografie, het verbergen van informatie in onschuldig ogende objecten zoals plaatjes, teksten of geluidsfragmenten, door aanvallers kan worden gebruikt.

iphone siri data stealBron: Security.nl