A Siri dá aos utilizadores do iOS e do macOS uma liberdade grande para controlarem os seus equipamentos sem qualquer intervenção destes. Com simples comandos de voz, controlam estes sistemas e podem pesquisar e tomar outras ações.
Este assistente virtual foi recentemente alvo de uma correção no iOS e no macOS Ventura, para assim bloquear uma falha de segurança. Qualquer app com acesso às ao Bluetooth podia ouvir as ordens dadas pelos utilizadores e assim violar a sua segurança e privacidade.
Esta é uma falha de segurança grave e que a Apple já terá resolvido no iOS 16.1 e no novo macOS Ventura, as mais recentes versões dos seus sistemas operativos. Não o anunciou de forma pública, mas o autor da descoberta veio agora a público mostrar o problema que encontrou.
Do que foi revelado, esta falha faz uso da Siri e em especial quando existem equipamentos Bluetooth ligados ao iPhone ou ao Mac. A piorar a situação, ao recolher este áudio, a app do atacante não mostrava qualquer alerta ao utilizador por estar a aceder ao microfone.
A descoberta foi feita quando Guilherme Rambo, o autor da descoberta, estava a desenvolver a sua app AirBuddy. Esta está dedicada a ajudar os utilizadores a ligarem e usarem os AirPods, Beats e acessórios Bluetooth ao macOS. Ao avaliar alguns elementos, percebeu que estava a ter acesso a todo o áudio gerado para a Siri.
Com este acesso, a app maliciosa poderia depois exportar os áudios para fora dos equipamentos, para serem usados de forma a poderem atacar o utilizador. Tal como a Siri, também os ditados para o teclado do iOS podiam ser acedidos e guardados.
Esta permissão não era para esta aberta e assim haver limitação no acesso ao áudio que a Siri recolheu. Ao revelar a falha, o programador Guilherme Rambo acabou por receber um prémio monetário da Apple, do seu programa de segurança para os seus sistemas operativos.
Como referido, a falha está corrigida tanto no iOS 16.1 e no macOS Ventura, ficando assim os utilizadores protegidos. O problema foi registado no final de agosto e a Apple responde dias depois. A solução chegou na semana passada e fecha este processo de forma permanente.
Fonte: Pplware.