Ein besorgniserregendes Problem, bei dem Benutzer von macOS- und iOS-Geräten ihre Gespräche mit Siri unter bestimmten Umständen von einem böswilligen Drittanbieter ausspionieren und aufzeichnen lassen, wurde glücklicherweise von Apple behoben.
Dies war ein schwerwiegender Fehler, der sich auf Mac- und iPhone- oder iPad-Besitzer auswirkte, und er wurde vom App-Entwickler Guilherme Rambo, as entdeckt Apple-Insider (öffnet in neuem Tab) Berichte. Rambo stellte fest, dass jede App mit Bluetooth-Zugriff die Sicherheitslücke ausnutzen und den Siri-Austausch des Benutzers belauschen könnte, wenn AirPods oder ein Beats-Headset (mit Bluetooth-Verbindungen) verwendet werden.
Rambo erklärt (öffnet in neuem Tab): „Herauszufinden, dass ich Audio von AirPods erhalten kann, ohne um Erlaubnis zu fragen, das Mikrofon unter macOS zu verwenden, war der erste Schritt.“
Der Entwickler führte dann die gleichen Tricks auf dem iPhone und iPad durch und empfing Audio der Gespräche des Benutzers (von denen der Entwickler zunächst dachte, dass sie verschlüsselt sein könnten, sich aber als nicht sicher herausstellte).
Entscheidend ist, dass dieser Fehler von jeder Software mit erteilter Bluetooth-Berechtigung ausgenutzt werden kann, und es geschieht ohne Aufforderung, auf das Mikrofon zuzugreifen, oder ohne einen anderen Hinweis, der dem Benutzer nahelegt, dass etwas Unerwünschtes vor sich gehen könnte.
Rambo informierte Apple am 26. August über das Problem, woraufhin das Unternehmen einen Untersuchungsprozess einleitete und anschließend einen Fix (für die Schwachstelle CVE-2022-32946) in das frisch eingetroffene iOS 16.1 (und den neuesten macOS-Build) implementierte.
Analyse: Bug gequetscht und Prämie erhalten
Es ist natürlich eine gute Nachricht, dass dieses Problem behoben wurde, bevor es allgemein bekannt wurde, aber wir haben keine Ahnung, ob der Exploit bis heute tatsächlich irgendwo von einem Hacker ausgenutzt wurde. Hoffentlich nicht, und zumindest jemand auf der hellen Seite des Sicherheitszauns hat Apple darauf aufmerksam gemacht, um den Fix bereitzustellen.
Offensichtlich ist dies ein guter Grund, sich das neueste Update für iOS und macOS zu holen, und Fehler wie diese, die behoben werden, sind genau der Grund, warum Sie sicherstellen sollten, dass Updates rechtzeitig angewendet werden.
Es lohnt sich nicht unbedingt, innerhalb weniger Stunden nach der Veröffentlichung auf ein bestimmtes Update zu springen – Early Adopters können natürlich das Wasser auf unerwartete Probleme testen, die eingeführt werden – aber Sie sollten es nicht zu lange warten lassen, bevor Sie Sicherheitsupdates anwenden besondere.
Rambo erhielt 7.000 US-Dollar für die Meldung des Fehlers an Apple, und wie auf zu sehen Twitter (öffnet in neuem Tab), gibt es einige, die denken, dass das ein wenig geizig ist – wenn man feststellt, dass dies der Grund dafür ist, dass Leute mit solchen Funden manchmal woanders hingehen, anstatt direkt zu dem betroffenen Unternehmen. Ein beunruhigender Gedanke zum Schluss…