In un articolo apparso sul numero di gennaio di “IEEE Computer”, Luca Caviglione del Consiglio Nazionale delle Ricerche di Genova (CNR) e Wojciech Mazurczy dell’Università di Varsavia, parlano di un possibile falla di sicurezza nell’assistente vocale di Apple, Siri – solo su sistemi con jailbreak – potrebbe essere sfruttata da malintenzionati per reperire furtivamente informazioni sensibili dallo smartphone. Il metodo si basa sulla steganografia, la pratica dell’occultamento delle informazioni in file d’immagine, audio o di altro tipo, una tecnica che gli hacker stanno sempre di più impiegando per portare a termine i loro attacchi malevoli.

Mazurczy e Caviglione hanno dimostrato che questo tipo di malware per iOS potrebbe diventare difficile da rilevare, evidenziando come lo scopo di questo studio è quello odi fornire uno strumento in grado di aiutare la Comunità che si occupa della sicurezza a rilevare malware sulla piattaforma iOS. Secondo gli autori dello studio, individuare un attacco steganografico in Rete è molto difficile, “perché si utilizzano diversi protocolli di comunicazione e ogni servizio è correlato a uno o più protocolli con ciascuno di essi che potenzialmente può essere utilizzato per nascondere informazioni.”

Quando gli utenti “parlano” con Siri, la loro voce viene elaborata con il “Speex Codec” e i dati vengono trasmessi ai server di Apple, dove l’input vocale viene elaborato e l’informazione richiesta viene ritornata all’utente che ne ha fatto richiesta.

Il metodo di attacco sviluppato dai ricercatori, soprannominato iStegSiri (qui il loro documento ufficiale sulla tecnologia sviluppata), permette di creare un attacco steganografico su iPhone o iPad “agganciando” al traffico dati tra lo smartphone e i server Apple dati sensibili del telefono e dell’utilizzatore dello stesso; un malware potrebbe utilizzare questo metodo per veicolare all’esterno dello smartphone numeri di carte di credito, Apple ID, password e altre informazioni riservate.

Un attacco di iStegSiri si svolge in tre fasi. Nella prima, il messaggio segreto viene convertito in una sequenza audio basata sull’alternanza di voce e audio muto; il modello sonoro viene quindi fornito a Siri come input attraverso il microfono interno. Il destinatario del messaggio segreto aggancia il traffico dati diretto ai server di Apple ed estrae le informazioni decrittandole.

Nei loro esperimenti, Mazurczy e Caviglione sono riusciti a utilizzare questo metodo per elaborare dati a una velocità di 0,5 byte al secondo, facendo rilevare che con questa velocità ci vorrebbero circa 2 minuti per inviare un numero di carta di credito di 16 cifre.

L’attacco di iStegSiri può essere efficace perché non richiede l’installazione di componenti software aggiuntivi e non ha bisogno di alterazione del dispositivo. D’altra parte, funziona solo su dispositivi jailbroken e gli hacker in qualche modo devono essere in grado di intercettare il traffico dati di Siri modificato.

I ricercatori non hanno divulgato le specifiche di iStegSiri e sottolineano che il modo migliore per contrastare questo tipo di problema è agire lato server, analizzando dettagliatamente i modelli audio e cercando di filtrare tutti quei modelli che si discostano troppo dai comportamenti linguistici tipici, quindi potenzialmente affetti da attacchi steganografici.