Security Week 32: дыра в iMessage, приватность голосового ввода

22 июля Apple выпустила обновление операционной системы iOS до версии 12.4, в котором были закрыты три серьезные уязвимости, обнаруженные экспертом из команды Google Project Zero Натали Сильванович. Самая опасная (CVE-2019-8646) позволяет красть данные с удаленного устройства без вмешательства пользователя. Теоретически возможна и запись произвольной информации, но реальный масштаб потенциального ущерба для владельцев уязвимых смартфонов и планшетов пока до конца не изучен.

Информации по другим уязвимостям пока немного, известно лишь, что одна из них (CVE-2019-8647) может вызвать падение модуля SpringBoard, отвечающего за отрисовку домашнего экрана устройств на базе iOS.

Сильванович выложила Proof of Concept для CVE-2019-8646, реализующий типичный сценарий эксплуатации: подготовленное сообщение в iMessage, при обработке которого на сервер злоумышленника отправляются данные, которые не должны туда отправляться. Посмотрим на эту уязвимость более внимательно и заодно поговорим о человеческом факторе в обработке голосовых сообщений для Siri и других голосовых помощников.

Обнародование данных об уязвимости — довольно интересный случай, когда представителям СМИ приходится разбираться в техническом описании проблемы. Все публикации основаны на трех отчетах об уязвимостях в трекере команды Google Project Zero: здесь есть информация по самой опасной уязвимости (утечка данных), тут написано про падение Springboard, вот тут про еще одну ошибку повреждения памяти, с пока непонятными последствиями (или без таковых — практическая эксплуатация этой уязвимости затруднена). Информация еще об одном баге (CVE-2019-8641) пока не раскрывается, так как патч, выпущенный Apple, оказался неэффективен.

Уязвимостям подвержены телефоны только на базе последней версии iOS 12. В публикациях СМИ с разной степенью детализации цитируются достаточно осторожные формулировки о технических подробностях из оригинального багрепорта, и для обычного пользователя ситуация выглядит странно: непонятен уровень драмы. Скорее всего, больше деталей будет раскрыто на выступлении команды Google Project Zero, запланированном на этой неделе на конференции BlackHat. Впрочем, другой исследователь взял PoC Сильванович и записал видео его работы:

Происходит, если максимально упростить описание, вот что: пользователю отправляется подготовленное сообщение iMessage, содержащее URL. Клиент iMessage на телефоне пытается автоматически обработать это сообщение. В некоторых случаях происходит обращение к присланному адресу. Ошибка в обработчике приводит к неправильному определению количества символов в URL. В результате, когда обращение все же происходит, к изначальному адресу добавляется содержимое соседнего блока памяти в качестве параметра. Серверу атакующего достаточно зарегистрировать обращение и раскодировать данные. Полный ассортимент информации, которую можно таким образом украсть, пока не точно определен: упоминается архив сообщений iMessage и двоичные данные. На видео выше показан пример атаки на модуль SpringBoard, в результате которой происходит утечка изображения, ранее просмотренного владельцем устройства.

Несмотря на то что все последствия эксплуатации данной проблемы пока не изучены, комментарии некоторых представителей индустрии сводятся к тому, что отношение к защищенности iPhone стоит пересмотреть. Не думаем, что это подходящий повод: оценивать безопасность той или иной системы по количеству и сложности закрытых багов — в большинстве случаев плохая идея. Однако не будет лишним установить апдейт iOS, если этого еще не произошло: любой баг, эксплуатируемый без ведома пользователя, по определению опасен.

Страдания по голосовому распознаванию

Источник картинки и оригинал художника Васи Ложкина.

Еще одна новость, связанная с Apple, касается работы системы голосового распознавания Siri. 26 июля в британском издании The Guardian была опубликована статья , в которой описана работа подрядчиков компании, улучшающих функционирование автоматизированных алгоритмов. В целом это логично: если в речи абонента что-то не расшифровывается, надо попробовать улучшить работу системы. Но в таком подходе можно увидеть и риск для приватности, особенно если учесть, что голосовой помощник иногда включается и начинает записывать звук не по команде абонента, а случайно, сам по себе. Об этом в статье The Guardian свидетельствует анонимный представитель подрядчика Apple.

Apple — не первая компания, которую критикуют из-за наличия отрядов «живых слушателей» системы голосового распознавания. 10 июля бельгийское издание VRT сообщило не только об аналогичной практике, но и об утечке архивов записей одного из подрядчиков Google. В апреле аналогичный отчет был опубликован о работе системы распознавания речи Amazon Alexa.

Когда устройство, постоянно записывающее звук и иногда отправляющее запись производителю, появляется у вас дома, вопросов по поводу приватности будет много по определению. Причиной широкого обсуждения трех упомянутых материалов СМИ стало «неожиданное» открытие: ваши голосовые команды, оказывается, слушает не только бездушная машина, но и живой человек. В то время как Amazon, Google, Apple и даже Яндекс пытаются заработать на новой удобной фиче, им нужно обеспечить доверие пользователей, даже если прямой угрозы утечки данных нет. А ее в большинстве случаев нет: подрядчикам передается максимум сотая доля всех записей, без возможности идентификации конкретных пользователей.

Тем не менее реагировать как-то надо, и пока выходит вот что. Apple приостановила программу контроля качества работы Siri. Amazon добавила настройку приватности, блокирующую распознавание голоса человеком для вашего аккаунта. Google приостановила проверку записей в Европейском Союзе, так как у регуляторов появились вопросы о соответствии такой практики нормам GDPR. Вроде бы неплохо, приватность потребителя в данном случае может быть даже лучше защищена, чем в иных ситуациях. Вопрос в том, как сильно отказ от контроля повлияет на качество распознавания. Тот момент, когда у общества есть выбор: более быстрый прогресс или меньшее вмешательство в частную жизнь.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.