Uma funcionalidade da assistente virtual Siri feita para ajudar os usuários a saber com quem estão falando pode ser utilizada em golpes de phishing. Nesse tipo de golpe, criminosos se passam por outra pessoa ou entidades na tentativa de roubar informações pessoais das vítimas.
Quem mostrou como é possível enganar a assistente da Apple foi a empresa de segurança Wandera, para uma reportagem da revista Forbes. No exemplo apresentado, o golpe envolve se aproveitar de uma ferramenta da Siri que tenta reconhecer contatos desconhecidos.
Segundo a Wandera, basta enviar para a vítima em potencial uma mensagem via iMessage se identificando como outra pessoa ou empresa. Em alguns casos, utilizar um substantivo próprio no texto é o suficiente para a Siri pensar que esse é o seu nome. A partir desse momento, qualquer ligação feita desse mesmo número será reconhecida pela Siri com o nome utilizado na mensagem.
Exemplo de mensagem mostrando como a Siri reconhece um contato desconhecido.
A mesma coisa pode ser feita enviando um e-mail contendo o número de celular do golpista. Esse caso é um pouco mais complicado por exigir que a vítima responda ao e-mail para que a Siri passe a reconhecer aquele contato. No entanto, é possível se aproveitar do sistema de respostas automáticas para conseguir isso.
Dessa forma, um criminoso poderia enviar uma mensagem se passando por alguém e depois ligar para a vítima do mesmo número. A Siri identificaria o contato erroneamente, possivelmente fazendo com que a vítima entregue informações pessoais para a pessoa errada.
A Wandera diz que informou o caso para a Apple em abril, mas a fabricante do iPhone respondeu afirmando que não considera o assunto como uma vulnerabilidade de segurança. De qualquer forma, ela disse ter marcado o problema como uma falha de software, sugerindo que alguma coisa deve ser feita para melhorar a segurança dos usuários que utilizam a função.
Fontes