Su iPhone falla di sicurezza aperta da Siri

Scammer

I suggerimenti proattivi di iOS, le funzioni che cercando di identificare il nome di chi chiama, guardando tra le mail, potrebbero essere potenzialmete usati da truffatori. Ecco come.

Un’azienda che si occupa di sicurezza informatica, riferisce di un potenziale problema di sicurezza con l’assistenza proattiva di Siri, una peculiarità dell’assistente vocale che potrebbe essere usata dagli “scammer”, i truffatori che tentano di raggirare il malcapitato con mail o telefonate.

L’approccio – spiega Fortune – sfrutta il meccanismo di identificazione che Apple usa da tempo per cercare di individuare automaticamente chiamate da utenti sconosciuti. Quando arriva una chiamata da un numero sconosciuto, iOS cerca nelle email del dispositivo per vedere se il numero è legato a qualche mittente, e lo segnala sulla schermata della chiamata con l’indicazione “Forse: nome cognome”.

Il “forse” è un indizio che dovrebbe far capire che Siri non è certo dell’identità del chiamante ma – spiegano gli esperti della ricerca – l’utente potrebbe prestare poca attenzione quando il nome visualizzato è quello, ad esempio, di una banca.

Tenendo conto di questa funzionalità, vi sono due passaggi che un truffatore può tentare per portare a termine un attacco con quelle che in gergo si chiamano tecniche di ingegneria sociale. Il primo passaggio consiste nel creare un’email del tipo: “Banca XXX” alla quale associare il numero di telefono che poi chiamerà il malcapitato. Nelle note finali o nella firma della mail bisognerà indicare un numero di telefono. Dopo avere mandato una mail alla “vittima”, se quest’ultima risponde, anche con il messaggio di risposta automatica che con alcuni servizi mail è possibile attivare quando si è “Fuori sede”, il numero in questione verrà identificato dal sistema come appartenente al nome associato a quel numero e sul display apparirà: “Forse: Banca XXX” per i messaggi o le chiamate in arrivo.

Apple blocca automaticamente  parole generiche quali “Banca” e simili ma non denominazioni riguardanti specifiche banche. Mark Gurman di Bloomberg fa notare che questa funzionalità è attiva in iOS dal 2015 sin da iOS 9 e che Apple potrebbe aggiungere uno switch per attivarla/disattivarla in base alle preferenze dell’utente. Apple ha fatto sapere che si tratta di una problematica software, lasciando intendere che provvederà con i prossimi aggiornamenti di iOS a miglioramenti specifici.

Già ora iOS consente di gestire i contatti “Forse”. Ecco come proceedere: Aprite Impostazioni, scegliete “Contatti”, toccate “Siri e cerca”. Da qui è possiible attivare o disattivare l’interrutore “Trova contatti in altre app”.

Per confermare/annullare i contatti suggeriti, bisogna aprire l’app Telefono, toccare il sombolo “i” a fianco del numero con “Forse”, accertarsi dei dettagli rilevati e la loro origine, toccare “Crea nuovo contatto” (tutti i campi vengono compilati automaticamete) e confermare con “Fine” (in alto a destra).

trova contatti