close
據The Hacker News 10月27日消息,在蘋果近期披露的漏洞中包含了名為SiriSpy的 iOS 和 macOS系統漏洞,使具有藍牙訪問權限的應用程序能夠竊聽用戶與 Siri 的對話。
應用程序開發人員 Guilherme Rambo 在 2022 年 8 月發現並報告了該漏洞,編號為 CVE-2022-32946。
Rambo表示,在使用 AirPods 或 Beats 等設備時,只要請求訪問藍牙權限的都可以記錄用戶與Siri的對話。而該漏洞與 AirPods 中一項名為 DoAP 的服務有關,該服務用於支持 Siri 和聽寫功能,從而使攻擊者能夠製作可通過藍牙連接到 AirPods 並在後台錄製音頻的應用程序,且不會顯示麥克風的訪問請求。
而在 macOS 系統上,該漏洞可能被濫用以完全繞過TCC用戶隱私保護框架,這意味着任何應用程序都可以記錄用戶與 Siri 的對話,且無需請求任何權限。
Rambo表示,造成這一漏洞的原因是由於缺乏對 BTLEServerAgent 的權利檢查,BTLEServerAgent 是負責處理 DoAP 音頻的保護程序服務。
目前該漏洞已通過系統更新補丁得到修復,涉及的產品包括iPhone8及之後的所有機型;所有的iPad Pro;iPad Air 第 3 代、標準版iPad 第 5 代、iPad mini 第 5 代及後續機型。
參考來源:
https://thehackernews.com/2022/10/apple-ios-and-macos-flaw-couldve-let.html
精彩推薦
全站熱搜
留言列表