Ma secondo voi il lavoro di Steve si è fermato qui? La risposta è no: infatti grazie alla collaborazione con alcuni sviluppatori di Applidium, il famoso "assistente vocale" è stato portato anche su piattaforme che non sono iOS, come Windows, Android e OS X.
E' stato scoperto che Siri si collega ad un server chiamato guzzoni.apple.com attraverso una connessione crittografata SSL e tramite la porta 443. I programmatori hanno quindi creato un falso server DSN ed in parallelo un falso certificato. Una volta fatto ciò hanno fatto collegare l'iPhone al nuovo DNS e si sono fatti firmare il certificato, in modo da farlo sembrare autentico. E ha funzionato esattamente come speravano: Siri ha inviato richieste al loro server fittizio!
Ma c'è un problema: questo sorge dal fatto che ogni Siri per funzionare necessiti un codice di certificazione, associato univocamente ad ogni iPhone 4S. Infatti potrebbe darsi che Apple possa bloccare un codice vedendo che crea più connessione contemporaneamente.
A questo punto i casi possono essere 3:
- Un hacker potrebbe infilare cautamente un trojan nel server guzzoni.apple.com e prelevare a suo piacimento tutti i codici che vuole.
- Si potrebbe trovare un modo per generare codici casuali, che non corrispondano ad alcun iPhone 4S esistente.
- Il terzo metodo, quello meno ortodosso, sarebbe quello di prendere l'intera banca dati di Siri dal server di Apple e copiarla su un server pirata, facilitando qualsiasi opzione precedentemente descritta.
Un nuovo grattacapo per Cupertino...
Nessun commento:
Posta un commento