Apple, к счастью, устранила тревожную проблему, из-за которой у тех, кто использует устройства macOS и iOS, их разговоры с Siri могли отслеживаться и записываться злонамеренной третьей стороной при определенных обстоятельствах.
Это был серьезный недостаток, затрагивающий владельцев Mac и iPhone или iPad, и он был обнаружен разработчиком приложений Гильерме Рэмбо. Инсайдер Apple (откроется в новой вкладке) отчеты. Рэмбо обнаружил, что любое приложение с доступом по Bluetooth может использовать брешь в системе безопасности и перехватывать сообщения Siri пользователя при использовании AirPods или гарнитуры Beats (с подключением по Bluetooth).
Рэмбо объясняет (откроется в новой вкладке): «Узнать, что я могу получать звук с AirPods, не спрашивая разрешения на использование микрофона в macOS, было первым шагом».
Затем разработчик проделывал те же трюки на iPhone и iPad, получая аудиозаписи разговоров пользователя (которые, по мнению разработчика, могли быть зашифрованы, но оказалось, что это не так).
Важно отметить, что эта уязвимость может быть использована любым программным обеспечением с предоставленным разрешением Bluetooth, и это происходит без запроса доступа к микрофону или какой-либо другой подсказки, чтобы предположить пользователю, что может происходить что-то неблагоприятное.
Рэмбо сообщил Apple о проблеме 26 августа, после чего компания начала процесс расследования, впоследствии внедрив исправление (для уязвимости CVE-2022-32946) в свежеприбывшей iOS 16.1 (и последней сборке macOS).
Анализ: ошибка устранена, вознаграждение получено
Это хорошая новость, что эта проблема была исправлена до того, как она стала общеизвестной, естественно, но мы понятия не имеем, мог ли эксплойт действительно быть использован хакером где-либо на сегодняшний день. Надеюсь, что нет, и по крайней мере кто-то на светлой стороне забора безопасности обратил на это внимание Apple, чтобы развернуть исправление.
Очевидно, что это веская причина, чтобы получить последнее обновление для iOS и macOS, и устранение подобных ошибок — это именно то, почему вы должны обеспечить своевременное применение обновлений.
Необязательно сразу же устанавливать какое-либо обновление в течение нескольких часов после его выпуска — ранние пользователи, конечно, могут прощупывать почву на предмет неожиданных проблем, которые возникают, — но не следует откладывать слишком долго, прежде чем применять обновления безопасности в конкретный.
Рэмбо получил 7000 долларов (США) за то, что сообщил об ошибке в Apple. Твиттер (откроется в новой вкладке), есть некоторые, кто считает, что это немного скупо – отмечая, что это причина, по которой люди иногда обращаются с такими находками в другое место, а не напрямую в пострадавшую компанию. Тревожная мысль, чтобы закончить на…
