警惕！SiriSpy漏洞可窃听用户与Siri的对话

据外媒网站消息，苹果近期披露了一个名为SiriSpy的漏洞，该漏洞是一个影响苹果iOS和macOS的漏洞。被跟踪为CVE-2022-32946，该漏洞允许应用程序窃听用户与Siri的对话，庆幸的是，目前该漏洞已经修复。

事件详情

2022年8月，应用程序开发人员 Guilherme Rambo发现并报告了该漏洞，编号为 CVE-2022-32946。Rambo表示，在使用 AirPods 或 Beats 等设备时，只要请求访问蓝牙权限的都可以记录用户与Siri的对话。

CVE-2022-32946漏洞和 AirPods 中一项名为 DoAP 的服务有关，该服务用于支持 Siri 和听写功能，从而使攻击者能够制作可通过蓝牙连接到 AirPods 并在后台录制音频的应用程序，且不会显示麦克风的访问请求。

在 macOS 系统上，该漏洞可能被滥用以完全绕过TCC用户隐私保护框架。也就是说，无需请求任何权限，任何应用程序都可以记录用户与 Siri 的对话。

应用程序开发人员  Guilherme Rambo表示，BTLEServerAgent 是负责处理 DoAP 音频的保护程序服务，由于缺乏对 BTLEServerAgent 的权利检查，这是造成这一漏洞的主要原因。

目前，这个漏洞已经得到修复，修复此漏洞的软件补丁适用于iPhone8及之后的所有机型；所有的iPad Pro；iPad Air 第 3 代、标准版iPad 第 5 代、iPad mini 第 5 代及后续机型。

建议受影响的用户尽快更新补丁，修复这个漏洞，防止不法分子利用该漏洞进行攻击。