Голосовой помощник от Apple приспособили для преступлений. Выяснилось, что Siri позволяет переводить деньги со счета, привязанного к смартфону, причем без разблокировки устройства. Сколько денег можно украсть через чужой iPhone, разбирался Алексей Соколов.
Механизм кражи довольно прост: у злоумышленника должен оказаться в руках чужой iPhone, и не важно, забыли ли его в кафе или он был вытащен из кармана в метро. При включенной функции Siri и подключенном смс-банкинге перевод денег максимально упрощается: мошенник просит Siri отправить сообщение на короткий номер банка — с указанием номера телефона человека, которому должен прийти платеж. Ответное смс с кодом прочтет по команде сама Siri, для этого iPhone даже не нужно разблокировать. Пароль отправляется обратно на короткий номер банка и операция выполняется. Финансовые организации, как оказалось, подстраховались. К примеру, в Сбербанке на сторонний номер телефона можно перевести не более 1,5 тыс. руб. в сутки, Альфа-банк ограничил сумму 500 руб. При всей ответственности банков, вопрос сохранности денег лежит и на самих клиентах, отметила руководитель управления развития продуктов электронной коммерции Альфа-банка Елена Бочарова.
«Это вопрос ухода банков от смс, потому что подобные смс отмирают как необходимость — появляются push-уведомления и шторки на смартфонах. В любом смс-уведомлении от банка вы найдете обязательную информацию никому не говорить коды, которые приходят, банки об этом не спрашивают. Вы же не оставляете свою карту на сидении автомобиля с приклеенным PIN? Нужно просто научить людей соблюдать необходимые и минимальные меры безопасности, как с картой и PIN-кодом», — отметила Бочарова.
Если владелец смартфона беспокоится за сохранность своих паролей, номеров карт и, соответственно, денег, профилактика преступлений довольно простая: постараться минимизировать финансовые операции через телефон, а также постараться, чтобы гаджет не попадал в чужие руки. Разумеется, допускать к деньгам голосовых помощников тоже нежелательно, считает независимый эксперт Михаил Дьяков.
«Системы голосового управления, такие как Siri, прежде всего, это по идеологии своей большая дыра в защите. Невозможно придумать достаточно надежный способ аутентификации того, кто говорит, без снижения удобства. Поэтому надо выбирать что-то одно: либо сильно ограничивать его в возможностях, либо жертвовать безопасностью. Это не обязательно намеренный компромисс, просто недосмотрели. Я бы сказал, что это недостаток как Apple, так и банков, которые не предусмотрели и не протестировали такой вариант использования устройства», — рассказал «Коммерсантъ FM» Дьяков.
Как в Сбербанке, так и в Альфа-банке на ситуацию отреагировали сразу. Совет организации дали один: установить запрет на использование голосового помощника Siri при заблокированном экране Apple-устройства. И, конечно, не оставлять свой iPhone без присмотра.
Голосовой помощник Apple не впервые фигурирует в подобных историях. С помощью Siri хакерам уже удавалось получить доступ к контактам телефона, его фотографиям, номерам банковских счетов и другим личным данным.