da Hardware Upgrade :
Gli aggiornamenti di iOS e macOS recentemente rilasciati hanno
corretto una falla grave che avrebbe potuto consentire alle app con
accesso alle risorse Bluetooth di registrare conversazioni con
l’assistente vocale Siri. In altri termini un’app potrebbe registrare
le conversazioni tra Siri e l’utente quando si utilizzano
periferiche audio Bluetooth, senza che l’app richieda l’accesso al
microfono e senza fornire riscontri visivi all’utente.
Il problema
stato scoperto dallo sviluppatore Guilherme Rambo e segnalato ad
Apple il 26 agosto scorso, la quale ha risposto dopo pochi giorni
dopo. Il 24 ottobre con il
rilascio di iOS 16.1 e macOS Ventura la Mela ha corretto il
problema, tracciando la vulnerabilit come CVE-2022-32946.
Lo sviluppatore ha scoperto il bug, battezzato SiriSpy, indagando
su un altro aspetto e cio il motivo per cui la qualit delle
comunicazioni audio non degrada quando si utilizza Siri al contrario di
quanto accade in altri contesti, ad esempio durante una videoconferenza.
Durante la sua analisi ha scoperto che era possibile intercettare i dati
audio dagli auricolari AirPods connessi mentre si utilizzava Siri, senza
che il sistema richiedesse l’autorizzazione per l’accesso al microfono.
Rambo ha quindi scritto un app per verificare la possibilit di sfruttare
l’anomalia, scoprendo a questo punto che un’app con autorizzazione
Bluetooth aveva la possibilit di effettuare una registrazione in
background senza chiedere autorizzazioni all’utente, e con il Control
Center che indicava solo “Siri e dettatura” come funzione in esecuzione al
posto dell’app.
Dal momento che la falla stata risolta, la misura d’elezione per
mitigare il problema l’installazione degli aggiornamenti che Apple ha
rilasciato nei giorni scorsi.