Un ricercatore di sicurezza ha scoperto una grave vulnerabilità in iOS 16 che permette alle app di registrare le conversazioni con Siri, quando vengono utilizzati gli AirPods collegati via Bluetooth. Il sistema operativo non chiede il permesso di accedere al microfono. Un simile bug era presente anche in macOS. Dopo aver ricevuto la segnalazione, Apple ha risolto il problema di sicurezza in iOS 16.1 e macOS Ventura.
App registrano le conversazioni su iOS
Guilherme Rambo, sviluppatore dell’app AirBuddy che semplifica la connessione di AirPods, Beats e altri accessori Bluetooth al Mac, ha notato che la qualità audio durante l’uso di Siri rimane inalterata, mentre diminuisce durante una videochiamata. Quest’ultima è una limitazione dello standard Bluetooth, ma ciò non accade quando l’utente interagisce con l’assistente personale.
Durante l’analisi con un tool specifico, lo sviluppatore ha scoperto che è possibile intercettare i dati audio provenienti dagli AirPods, quando l’utente usa Siri, senza richiedere al sistema operativo il permesso di accedere al microfono. Rambo ha quindi scritto un’app che registra l’audio in un file WAV.
Un’eventuale spyware dovrebbe solo richiedere il permesso di accesso al Bluetooth, prima di registrare le conversazioni in background, all’insaputa dell’utente. Nel Control Center viene indicato l’uso di Siri, non l’app che registra l’audio proveniente dagli AirPods. Lo stesso bug era presente anche su macOS.
Lo sviluppatore ha informato Apple a fine agosto. La vulnerabilità (CVE-2022-32946) è stata risolta il 24 ottobre in iOS 16.1 e macOS Ventura. Gli utenti devono quindi aggiornare il sistema operativo. Lo sviluppatore ha ricevuto un premio di 7.000 dollari per la sua scoperta.
Ti potrebbe interessare
27 ott 2022