Voor iedereen die dacht dat hun gesprekken met Siri waren heilig en dicteeropnamen op het toetsenbord veilig waren, vond een nieuwe analyse een fout in de iOS Bluetooth waardoor iemand audio van beide kon pakken.
De vondst is van onderzoeker Guilherme Rambo, die details publiceerde over een Apple iOS-fout hij noemt "SiriSpy", gevolgd onder CVE-2022-32946. Het zou een kwaadwillende app waarvan een gebruiker is overtuigd om audio-interacties met iPhones te installeren laten afluisteren.
"Elke app met toegang tot Bluetooth zou je gesprekken met Siri en audio van de iOS-toetsenborddicteerfunctie kunnen opnemen bij gebruik van AirPods of Beats-headsets", schreef Rambo. "Dit zou gebeuren zonder dat de app om toestemming voor microfoontoegang vraagt, en zonder dat de app enig spoor achterlaat dat hij naar de microfoon luisterde."
Rambo legde uit dat hij regelmatig cybersecurity-onderzoek doet op AirPods, wat hem naar de vondst leidde.
Nadat hij Apple eind augustus op de kwetsbaarheid had gewezen, zei Rambo op 24 oktober dat iOS 16.1, samen met alle andere resterende Apple-besturingssystemen, zijn bijgewerkt met een fix. Om de vondst nog leuker te maken, voegde Rambo eraan toe dat hij van Apple heeft gehoord dat hij een bugbounty van $ 7,000 zal ontvangen voor zijn inspanningen.
