苹果曝严重漏洞,可窃听用户与Siri对话
2022-10-28 11:24:8 Author: www.freebuf.com(查看原文) 阅读量:50 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

据The Hacker News 10月27日消息,在苹果近期披露的漏洞中包含了名为SiriSpy的 iOS 和 macOS系统漏洞,使具有蓝牙访问权限的应用程序能够窃听用户与 Siri 的对话。

应用程序开发人员 Guilherme Rambo 在 2022 年 8 月发现并报告了该漏洞,编号为 CVE-2022-32946。

Rambo表示,在使用 AirPods 或 Beats 等设备时,只要请求访问蓝牙权限的都可以记录用户与Siri的对话。而该漏洞与 AirPods 中一项名为 DoAP 的服务有关,该服务用于支持 Siri 和听写功能,从而使攻击者能够制作可通过蓝牙连接到 AirPods 并在后台录制音频的应用程序,且不会显示麦克风的访问请求。

而在 macOS 系统上,该漏洞可能被滥用以完全绕过TCC用户隐私保护框架,这意味着任何应用程序都可以记录用户与 Siri 的对话,且无需请求任何权限。

Rambo表示,造成这一漏洞的原因是由于缺乏对 BTLEServerAgent 的权利检查,BTLEServerAgent 是负责处理 DoAP 音频的保护程序服务。

目前该漏洞已通过系统更新补丁得到修复,涉及的产品包括iPhone8及之后的所有机型;所有的iPad Pro;iPad Air 第 3 代、标准版iPad 第 5 代、iPad mini 第 5 代及后续机型。

参考来源:Apple iOS and macOS Flaw Could've Let Apps Eavesdrop on Your Conversations with Siri


文章来源: https://www.freebuf.com/news/348108.html
如有侵权请联系:admin#unsafe.sh