Siri, un bug (già corretto) poteva consentire di registrare le conversazioni con l'utente

Gli aggiornamenti di iOS e macOS recentemente rilasciati hanno corretto una falla grave che avrebbe potuto consentire alle app con accesso alle risorse Bluetooth di registrare conversazioni con l'assistente vocale Siri. In altri termini un'app potrebbe registrare le conversazioni tra Siri e l'utente quando si utilizzano periferiche audio Bluetooth, senza che l'app richieda l'accesso al microfono e senza fornire riscontri visivi all'utente.

Il problema è stato scoperto dallo sviluppatore Guilherme Rambo e segnalato ad Apple il 26 agosto scorso, la quale ha risposto dopo pochi giorni dopo.  Il 24 ottobre con il rilascio di iOS 16.1 e macOS Ventura la Mela ha corretto il problema, tracciando la vulnerabilità come CVE-2022-32946.

Lo sviluppatore ha scoperto il bug, battezzato SiriSpy, indagando su un altro aspetto e cioè il motivo per cui la qualità delle comunicazioni audio non degrada quando si utilizza Siri al contrario di quanto accade in altri contesti, ad esempio durante una videoconferenza.

Durante la sua analisi ha scoperto che era possibile intercettare i dati audio dagli auricolari AirPods connessi mentre si utilizzava Siri, senza che il sistema richiedesse l'autorizzazione per l'accesso al microfono. Rambo ha quindi scritto un app per verificare la possibilità di sfruttare l'anomalia, scoprendo a questo punto che un'app con autorizzazione Bluetooth aveva la possibilità di effettuare una registrazione in background senza chiedere autorizzazioni all'utente, e con il Control Center che indicava solo "Siri e dettatura" come funzione in esecuzione al posto dell'app.

Dal momento che la falla è stata risolta, la misura d'elezione per mitigare il problema è l'installazione degli aggiornamenti che Apple ha rilasciato nei giorni scorsi.