Apple iOS和macOS缺陷可能让应用窃听你与Siri的对话
Apple iOS 和 macOS 操作系统中现已修补的安全漏洞可能使具有蓝牙访问权限的应用程序能够窃听与 Siri 的对话。
苹果表示“应用程序可能能够使用一对连接的 AirPods 录制音频”,并补充说它通过改进的权利解决了 iOS 16.1 中的核心蓝牙问题。
应用程序开发人员 Guilherme Rambo 在 2022 年 8 月发现并报告了该漏洞。该漏洞被称为SiriSpy,已被分配标识符 CVE-2022-32946。
“在使用 AirPods 或 Beats 耳机时,任何可以访问蓝牙的应用程序都可以记录你与 Siri 的对话和来自 iOS 键盘听写功能的音频,”兰博在一篇文章中说。
“如果应用程序没有请求麦克风访问权限,也不会留下任何痕迹表明它正在收听麦克风,就会发生这种情况。”
据 Rambo 称,该漏洞与 AirPods 中包含的一项名为 DoAP 的服务有关,该服务用于支持 Siri 和听写功能,从而使恶意行为者能够制作一个可以通过蓝牙连接到 AirPods 并在后台录制音频的应用程序。
更糟糕的是,“没有访问麦克风的请求,控制中心的指示只列出了‘Siri 和听写’,而不是通过蓝牙 LE 直接与 AirPods 对话绕过麦克风许可的应用程序。”
虽然攻击要求应用程序可以访问蓝牙,但可以轻松绕过此限制,因为授予应用程序蓝牙访问权限的用户不太可能期望它也可以打开访问他们与 Siri 的对话和听写音频的大门。
然而,在 macOS 上,该漏洞可能被滥用以完全绕过透明、同意和控制 (TCC ) 安全框架,这意味着任何应用程序都可以记录与 Siri 的对话,而无需首先请求任何权限。
Rambo 说,这种行为的原因是由于缺乏对 BTLEServerAgent 的权利检查,BTLEServerAgent 是负责处理 DoAP 音频的守护程序服务。
修复此漏洞的软件补丁适用于 iPhone 8 及更新机型、iPad Pro(所有型号)、iPad Air 第 3 代及更新机型、iPad 第 5 代及更新机型以及 iPad mini 第 5 代及更新机型。它也已在所有支持的 macOS 版本中得到解决。
iOS 16.1 更新于 2022 年 10 月 24 日发布,修复了总共 20 个漏洞,其中包括一个内核漏洞(CVE-2022-42827),该漏洞被披露为在野外被积极利用。
拜登-哈里斯政府发起了一项新举措,旨在在未来 100 天内提高化工行业工业系统的安全性,作为降低关键基础设施 (CNI) 网络风险的持续努力的一部分。
该行业是工业控制系统 (ICS) 网络安全计划涵盖的第四个行业,继电力、管道、水和铁路行业的类似计划之后。
结合从之前的努力中吸取的经验教训,100 天安全“冲刺”将重点关注:
优先考虑“存在重大化学品泄漏危险”的“高风险化学设施”
推动行业所有者和运营商之间的合作,以确保根据个人风险评估部署正确的技术
白宫强调了保护该行业对国家和经济安全的重要性,并指出该行业生产的化学品“直接或作为美国人日常生活的组成部分”,包括化肥和消毒剂、个人护理产品甚至能源.
虽然最初的重点将放在那些高风险设施上,但目标是在整个化工行业传播增强 ICS 网络安全的最佳实践。
Deepwatch网络安全高级副总裁Chris Gray直接与化工行业组织合作。他解释说,这些企业“对农业、水利、核能、国防和交通运输等相关行业产生了重大影响和支持”。
“如果停止或阻碍化学品的生产和交付,制造业、医疗保健、燃料和许多其他领域将受到巨大影响,”他补充说。
“另一个问题是系统和平台漏洞。2010 年之前对该领域进行治理的最后一个主要安全框架要求。该部门可能服务不足,具有高度远程和无人值守的遗留技术,以及过时的安全标准和期望。
未知演员正在部署RomCom RAT以瞄准乌克兰军方
作为 2022 年 10 月 21 日开始的新鱼叉式网络钓鱼活动的一部分,已观察到名为 RomCom RAT 的远程访问木马背后的威胁行为者针对乌克兰军事机构。
这一发展标志着攻击者作案手法的转变,此前该行为被归因于欺骗 Advanced IP Scanner 和 pdfFiller 等合法应用程序以在受感染系统上放置后门。
“最初的‘高级 IP 扫描器’活动发生在 2022 年 7 月 23 日,”黑莓研究和情报团队表示。“一旦受害者安装了木马捆绑包,它就会将 RomCom RAT 放到系统中。”
虽然该活动的先前迭代涉及使用特洛伊木马高级 IP 扫描程序,但自 10 月 20 日起,身份不明的敌对团体已切换到 pdfFiller,这表明部分对手正在积极尝试改进策略并阻止检测。
这些相似的网站托管一个恶意安装程序包,导致部署 RomCom RAT,它能够收集信息和捕获屏幕截图,所有这些都导出到远程服务器。
对手针对乌克兰军方的最新活动是一种背离,因为它使用带有嵌入式链接的网络钓鱼电子邮件作为初始感染媒介,导致虚假网站丢弃下一阶段的下载器。
该下载器使用来自“Blythe Consulting sp. z oo”的有效数字证书进行签名以进行额外的规避,然后用于提取和运行 RomCom RAT 恶意软件。黑莓表示,合法版本的 pdfFiller 使用相同的签名者。
除了乌克兰军方,该行动的其他目标还包括美国、巴西和菲律宾的 IT 公司、食品经纪人和食品制造实体。
黑莓的威胁研究员 Dmitry Bestuzhev 告诉黑客新闻:“这次活动是网络犯罪动机的威胁参与者和有针对性的攻击威胁参与者之间界限模糊的一个很好的例子。”
“过去,这两个团体独立行动,依赖不同的工具。今天,有针对性的攻击威胁行为者更多地依赖传统工具,使得归因更加困难。”
美国在三起案件中宣布了对中国公民的另一项重磅指控,其中据称两名特工因获得联邦起诉华为的内幕信息而行贿。
美国司法部 (DoJ) 昨天公布了这些指控,虽然没有透露华为的名字,但广泛的报道称它是案件中心的电信公司。美国在 2019 年和 2020 年对该公司提起了一系列敲诈勒索和串谋窃取商业机密的指控。
新案件起诉了两名涉嫌情报官员何东(又名何国春/Jacky He)和王郑(又名王禅),他们密谋从纽约的美国检察官办公室窃取与联邦起诉华为有关的信息。
他们的错误似乎是认为北京聘请了美国执法机构的一名雇员。事实上,这个人是双重间谍。
美国司法部表示,在此人通过了一份标有“秘密”的伪造内部文件后,他们被代理人支付了 41,000 美元的比特币贿赂。
如果被捕,两名涉嫌情报官员可能面临 60 年的监禁,但这似乎不太可能。
司法部长梅里克·加兰 (Merrick Garland) 表示:“这是中国情报官员的一次令人震惊的企图,旨在保护一家中国公司免受问责,并破坏我们司法系统的完整性。”
美国司法部昨天公布的其他案件包括试图强迫居住在美国的中国人返回家园,这是北京臭名昭著的猎狐行动战略,旨在抓捕逃离专制国家的持不同政见者。
据美国司法部称,据称骚扰活动持续了数年,甚至有一名家庭成员飞往美国,亲自警告受害者他应该返回中国。
在这起案件中,七名中国公民被起诉,但只有安全中和安广阳两人被捕。
最终案件指控四名中国公民,包括三名国家安全部 (MSS) 情报官员,参与一项为期多年的竞选活动,以招募美国大学教授、前联邦执法和州国土安全官员以及其他人担任中国人代理。
据说这些官员利用中国海洋大学的一个学术机构——国际问题研究所(IIS)——作为他们活动的掩护。
他们希望通过招募这些人来取得战略胜利,其中包括捕获敏感的指纹技术,并帮助阻止美国 2008 年奥运会火炬路线沿线的计划抗议活动。
“正如这些案例所表明的那样,中国政府试图干涉美国个人的权利和自由,并破坏我们保护这些权利的司法系统。他们没有成功,”加兰说。
“司法部不会容忍任何外国势力企图破坏我们民主所依据的法治。我们将继续大力保护我们国家每个人的权利,我们将捍卫我们机构的完整性。”
本周,国际现金和随身携带巨头 METRO 在网络攻击后遭受了 IT 基础设施中断。
国际现金和随身携带巨头 METRO 遭到网络攻击,导致 IT 基础设施中断。麦德龙在全球 681 家门店拥有超过 95,000 名员工,其中大部分在德国,2020 年销售额达到 248 亿欧元。
中断影响了全球商店,该公司在一份官方声明中证实了网络攻击,它正在外部专家的帮助下调查此事件:“METRO/MAKRO 目前正在经历一些技术服务的部分 IT 基础设施中断。麦德龙的 IT 团队与外部专家一起立即展开了彻底调查,以确定服务中断的原因。最新的分析结果证实,对 METRO 系统的网络攻击是导致 IT 基础设施中断的原因。” 阅读公司出具的声明。
这家批发巨头通知了有关部门,并警告客户,由于服务中断,可能会出现延误。
为了应对中断,商店中的团队建立了离线系统来处理付款。
该公司没有提供有关此次攻击的技术细节,但 Metro 面临的问题表明它是勒索软件攻击的受害者。
----------------------------------------------------------------------------
往期回顾:
【原创】一个简单的数据库安全评估分享
【原创】下一代SCA:PCA
1024节,KKsecurity送你赣南脐橙
中国黑客利用GamePlayerFramework 恶意软件瞄准在线赌场
【福利放送】19个省市公布数据相关条例
【KK原创】健康医疗行业下的安全剖析
【福利放送】医疗网络安全标准集锦
【KK原创】-《医疗卫生机构网络安全管理办法》的思考
原文始发于微信公众号(KK安全说):【KKsecurity weekly】Apple iOS 和 macOS 缺陷可能让应用窃听你与 Siri 的对话
评论