如果您還沒有下載iOS 16.1 更新在您的 iPhone 上,不要再等了。因為除了這個新版本引入的新功能之外,蘋果還修正了一定數量的安全缺陷,其中包括一個相對重要的缺陷。一個令人討厭的錯誤確實允許任何可以訪問設備藍牙連接的應用程式收聽和記錄您的對話......這要歸功於 Siri 和 AirPods 的語音聽寫。
未經授權存取麥克風
這個漏洞後來更名為 SiriSpy,是由 AirBuddy 的開發者 Guilherme Rambo 發現的。正是透過更深入地研究 AirPods,他有了一個奇怪的發現。
他意識到,所有能夠存取藍牙連接的應用程式都可以在使用 AirPods 時透過 Siri 的語音聽寫功能(整合到 iOS 鍵盤中)錄製聲音。更糟的是,他發現受影響的應用程式甚至不需要請求麥克風存取權限就能夠收聽(並記錄)麥克風拾取的聲音。最重要的是,他們沒有留下這次活動的任何痕跡。
iOS 和 macOS 皆受到影響
為了能夠測試他發現的問題是否存在於其他 Apple 作業系統上,開發人員創建了一個負責執行多項測試的小型應用程式。這讓他能夠更理解這種異常現像是如何運作的。
因此,要使該錯誤發揮作用,用戶仍然必須允許應用程式存取 iPhone 的藍牙。儘管如此,他認為這種授權不應允許應用程式存取透過整合到 iOS 鍵盤的 Siri 語音聽寫記錄的聲音。
然而,在 macOS 上,開發人員注意到完全沒有請求存取權限請求。任何應用程式都可以使用 Siri 的語音聽寫來錄製對話。但最糟糕的情況還沒有到來,因為該錯誤可能允許應用程式存取麥克風捕獲的聲音,而無需用戶與 Siri 交談或使用語音聽寫。
在一篇很長的博文,吉列爾梅·蘭博詳細介紹了他發現這一漏洞的所有工作。我們了解到,他發現了這個漏洞,並立即在 8 月底向蘋果報告。在使用開發人員提供的元素進行調查後,蘋果在所有相關作業系統上整合了必要的修復程序。這家加州公司還為 Guilherme Rambo 的發現獎勵了 7,000 美元的獎金。
🔴為了不錯過任何01net新聞,請關注我們谷歌新聞等WhatsApp。
Opera One - AI 驅動的網頁瀏覽器
作者:歌劇
來源 : 朝九晚五
