【安全圈】苹果曝严重漏洞，可窃听用户与Siri对话

安全圈 2022-10-28 19:00

关键词

苹果

据The Hacker News 10月27日消息，在苹果近期披露的漏洞中包含了名为SiriSpy的 iOS 和 macOS系统漏洞，使具有蓝牙访问权限的应用程序能够窃听用户与 Siri 的对话。

应用程序开发人员 Guilherme Rambo 在 2022 年 8 月发现并报告了该漏洞，编号为 CVE-2022-32946。

Rambo表示，在使用 AirPods 或 Beats 等设备时，只要请求访问蓝牙权限的都可以记录用户与Siri的对话。而该漏洞与 AirPods 中一项名为 DoAP 的服务有关，该服务用于支持 Siri 和听写功能，从而使攻击者能够制作可通过蓝牙连接到 AirPods 并在后台录制音频的应用程序，且不会显示麦克风的访问请求。

而在 macOS 系统上，该漏洞可能被滥用以完全绕过TCC用户隐私保护框架，这意味着任何应用程序都可以记录用户与 Siri 的对话，且无需请求任何权限。

Rambo表示，造成这一漏洞的原因是由于缺乏对 BTLEServerAgent 的权利检查，BTLEServerAgent 是负责处理 DoAP 音频的保护程序服务。

目前该漏洞已通过系统更新补丁得到修复，涉及的产品包括iPhone8及之后的所有机型；所有的iPad Pro；iPad Air 第 3 代、标准版iPad 第 5 代、iPad mini 第 5 代及后续机型。

来源：FreeBuf

END  

阅读推荐

【安全圈】程序员与同事吵架一气之下删代码离职，被判赔公司6万元！

【安全圈】云南网安部门打击一批营业厅“内鬼”

【安全圈】专家披露 SQLite 数据库中存在 22 年的高严重性漏洞

【安全圈】研究人员披露了 Windows 事件日志漏洞：LogCrusher 和 OverLog

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！