11/6/2018
Ludzka inteligencja nie zawsze wykryje socjotechnikę, a sztuczna inteligencja może wzmacniać fałszywe przekonania. Pokazuje to atak o wdzięcznej nazwie “Call me maybe” wykorzystujący Siri.
W praktyce wygląda to tak, że użytkownik iPhone’a otrzymuje wiadomość, której nadawca jest wskazany jako…
Maybe: [Nazwa_Nadawcy]
Siri nie jest w takich przypadkach pewny, czy nadawcą komunikatu jest określona osoba. Asystent tylko to sugeruje i “niechcący” może wzmacniać fałszywe przekonanie o tożsamości nadawcy.
Wprowadzenie w błąd może nastąpić na dwa sposoby.
- Atakujący wysyła do ofiary zespoofowany mail, który zawiera numer telefonu (np. w sygnaturce). Jeśli ofiara choć raz odpowie na mail, kontakt będzie się pojawiał jako “Maybe: [NADAWCA]” przy każdej kolejnej wiadomości. Co istotne, pierwsza odpowiedź na mail może być automatyczna czyli można atakować np. gdy ofiara jest na urlopie i ma włączony autoresponder.
- Atakujący wysyła do ofiary wiadomość iMessage, w której od razu identyfikuje się jako określona osoba. Nowy kontakt pojawi się jako “Maybe: [NADAWCA]” i to już otwiera pole do ataku socjotechnicznego. Warto zauważyć, że ta druga forma ataku jest bardzo prosta do przeprowadzenia (zob. obrazek powyżej).
O ataku napisał Robert Hackett w Fortune. Został on pokazowo zaatakowany przez Jamesa Macka z firmy Wandera. Ciekawe jest to, Wandera zgłaszała problem do Apple. Producent iPhone’ów odpowiedział tylko, że błąd nie należy do kategorii “security vulnerability” i został przekwalifikowany na problem z oprogramowaniem do rozwiązania w późniejszym czasie. Wydaje się, że można to łatwo naprawić, zresztą nikt tu niczego nie zhackował. Wykorzystano tylko specyficzne zachowanie oprogramowania, zapewne wdrożone z myślą o wygodzie.
Niedawno pisaliśmy o tym jak urządzenie Amazon Echo nagrało rozmowę małżonków i udostępniło ją innej osobie. Też nikt nie pomyślał, że coś takiego może się zdarzyć. Podejrzewamy, że będzie coraz więcej tego typu problemów z wirtualnymi asystentami.
A może maszyny specjalnie się buntują :>
Rozpocznij dyskusję, bądź pierwszy... ;-)
Dodaj komentarz