Apple 修复了一个安全漏洞,该漏洞使 macOS 和 iOS 设备在通过蓝牙使用 AirPods 或 Beats 耳机等配件时,容易与 Siri 进行交互并被记录下来。
据Apple Insider报道,该漏洞现在被称为漏洞 CVE-2022-32946,由应用程序开发人员Guilherme Rambo发现。
该漏洞与 Mac 和 iPhone 或 iPad 产品有关,用户在使用与音频相关的应用程序时有机会被黑客入侵,因为“应用程序需要访问麦克风或显示它正在使用麦克风”,Apple Insider 说.
根据 Rambo 的说法,当他在打开 AirPods 的情况下使用 Siri 时遇到音频质量下降时,他意识到有些问题,但在此 macOS 设备中使用麦克风时却没有。但是,当他在视频会议中时,音频质量的变化又回来了。
他通过编写一个名为“bleutil”的命令行工具验证了他的怀疑,发现该工具截获了连接到 macOS 产品的蓝牙低功耗设备的音频数据,并且也没有请求麦克风权限来访问系统。
为了进一步测试该漏洞,他创建了一款无需请求许可即可通过 Siri 记录用户的应用程序。 Apple Insider 说,该功能甚至不会在 macOS 控制中心上注册,唯一会出现的是“Siri 和听写”。
该应用程序与适用于 iOS 15 的 iPhone、iPad、Apple Watch 和 Apple TV 以及 8 月下旬当时的最新 iOS 16 测试版兼容。
开发人员于 8 月 26 日向 Apple 报告了该漏洞,这使该品牌能够调查其来源并找到修复程序,该修复程序已在 iPhone 的 iOS 16.1 更新和计算机的最新 macOS Ventura 更新中推出。但是,尚不清楚是否有任何不良行为者在该漏洞仍处于开放状态时访问了该漏洞。
由于他的努力,兰博从苹果公司获得了 7,000 美元的赏金。
这不是 Apple 第一次在其设备上遇到蓝牙问题。 3 月,该品牌发布了macOS Monterey 12.3.1的更新,以解决困扰 Mac 用户数周的蓝牙和显示问题。特别是,发送更新是为了修复蓝牙耳机的电源管理缺陷。