De fleste aktivitetene i livet krever avveininger mellom risiko og avkastning, samt mellom sikkerhet og brukervennlighet.
Smartphones er ett område der dette kompromisset kan være svært synlig for sluttbrukeren. Den høy effekt forbedring i brukervennlighet for mobile enheter gjør det en vanskelig avgjørelse hvor mange ganger en person trenger for å akseptere risikoen ved å bruke et program for å nyte sine fordeler
Ved hjelp av Siri -. Eller annen lignende tale- aktivert " personlig assistent " verktøy som tar handlinger fra uautoriserte brukere - er en av disse risikoene
iStegSiri angrep på en iPhone Siri er et man-in-the-middle-angrep som gjør at en ondsinnet aktør for å avskjære sensitive data -. slikt som Apple-IDer eller passord - uten at brukeren vet det. I en proof-of-concept angrep, anslått forskere hackere kan sende en stjålet kredittkortnummer i ca to minutter.
Siri angrep krever en iPhone å først være forankret og deretter å kjøre skadelig kode for å sende sensitive data. Det finnes imidlertid andre måter hemmelige kanaler som kan brukes til å sende små mengder data på en måte som ville være vanskelig å oppdage, slik som ved hjelp av domenenavnsystemet (DNS) tunneler. Også, hvis malware kan kjøre kode på en rotfestet iPhone, en tilpasset kryptert tunnel kan brukes til å overføre sensitive data.
iStegSiri krever også tilgang til nettverket mellom iPhone og Apples servere for å fange opp data som blir overført til Apple til å konvertere til tekst for Siri.
Som første skritt i å beskytte fra et slikt angrep, bør bedriftene utestenge brukere fra jailbreaking sine iPhones. Installere antimalware programvare kan også oppdage angrepet og hindre ondsinnet kode fra å kjøre. I tillegg, hvis en organisasjon overvåker enheten eller nettverket som enheten er koblet til for malware, angrepet kan potensielt bli oppdaget.
Selv om denne trusselen er lav risiko for bedrifter, er punktet om hemmelige kanaler noe foretak med høye sikkerhetskrav kan være nødvendig å analysere nøye for å finne ut hvordan du kan overvåke dem.