苹果漏洞可窃听用户和Siri对话

近日，据The Hacker News消息，苹果存在名为SiriSpy的 iOS 和 macOS系统漏洞，使具有蓝牙访问权限的应用程序能够窃听用户与 Siri 的对话。

涉及版本：包括iPhone8及之后的所有机型，所有的iPad Pro，iPad Air 第 3 代、标准版iPad 第 5 代、iPad mini 第 5 代及后续机型。

应用程序开发人员Rambo表示，在使用 AirPods 或 Beats 等设备时，只要请求访问蓝牙权限的都可以记录用户与Siri的对话。该漏洞与 AirPods 中一项名为 DoAP 的服务有关，该服务用于支持 Siri 和听写功能，从而使攻击者能够制作可通过蓝牙连接到 AirPods 并在后台录制音频的应用程序，且不会显示麦克风的访问请求。

该漏洞在 macOS 系统上可能存在被滥用以完全绕过TCC用户隐私保护框架，这意味着任何应用程序都可以记录用户与 Siri 的对话，且无需请求任何权限，目前该漏洞已通过系统更新补丁得到修复。

• 中泊研安全技术团队通过“人+流程+数据+平台”，构建可持续安全监测和响应能力，为客户提供全方位的安全运营服务解决方案。
• 邮箱：chenfanfan@zbysec.com
• 网站：http://www.zbysec.co

原文始发于微信公众号（中泊研安全应急响应中心）：苹果漏洞可窃听用户和Siri对话