SiriSpy: bug consente di registrare le conversazioni

SiriSpy: bug consente di registrare le conversazioni

Una vulnerabilità presente in iOS 16 consentiva di registrare l'audio proveniente dagli AirPods durante l'uso di Siri, senza mostrare avvisi all'utente.
Una vulnerabilità presente in iOS 16 consentiva di registrare l'audio proveniente dagli AirPods durante l'uso di Siri, senza mostrare avvisi all'utente.

Un ricercatore di sicurezza ha scoperto una grave vulnerabilità in iOS 16 che permette alle app di registrare le conversazioni con Siri, quando vengono utilizzati gli AirPods collegati via Bluetooth. Il sistema operativo non chiede il permesso di accedere al microfono. Un simile bug era presente anche in macOS. Dopo aver ricevuto la segnalazione, Apple ha risolto il problema di sicurezza in iOS 16.1 e macOS Ventura.

App registrano le conversazioni su iOS

Guilherme Rambo, sviluppatore dell’app AirBuddy che semplifica la connessione di AirPods, Beats e altri accessori Bluetooth al Mac, ha notato che la qualità audio durante l’uso di Siri rimane inalterata, mentre diminuisce durante una videochiamata. Quest’ultima è una limitazione dello standard Bluetooth, ma ciò non accade quando l’utente interagisce con l’assistente personale.

Durante l’analisi con un tool specifico, lo sviluppatore ha scoperto che è possibile intercettare i dati audio provenienti dagli AirPods, quando l’utente usa Siri, senza richiedere al sistema operativo il permesso di accedere al microfono. Rambo ha quindi scritto un’app che registra l’audio in un file WAV.

Un’eventuale spyware dovrebbe solo richiedere il permesso di accesso al Bluetooth, prima di registrare le conversazioni in background, all’insaputa dell’utente. Nel Control Center viene indicato l’uso di Siri, non l’app che registra l’audio proveniente dagli AirPods. Lo stesso bug era presente anche su macOS.

Lo sviluppatore ha informato Apple a fine agosto. La vulnerabilità (CVE-2022-32946) è stata risolta il 24 ottobre in iOS 16.1 e macOS Ventura. Gli utenti devono quindi aggiornare il sistema operativo. Lo sviluppatore ha ricevuto un premio di 7.000 dollari per la sua scoperta.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Rambo Codes
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 27 ott 2022
Link copiato negli appunti