![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEhynr4fbFbRXPW16mAg1DscRgqTrt8mbDwdM66FICpylozUNf2anDFhLY0zot2uSs6oX1pTvARriucHuaNMj_ExUiBRWIx80ijqOjyLL9BjOHfcxtTRrOfImbZtKsPpj9oXQJO0nYkGgEZ7eIG7pFCw_ScWMMfdv_NFpHL64n9EjFuZdiMZ4GIFesdw\/s728-e100\/siri.jpg\"\/)
<\/div>\nUna falla de seguridad ahora parcheada en los sistemas operativos iOS y macOS de Apple podr\u00eda haber habilitado aplicaciones con acceso Bluetooth para escuchar conversaciones con Siri.<\/p>\n
Apple dijo que “una aplicaci\u00f3n puede grabar audio usando un par de AirPods conectados”, y agreg\u00f3 que solucion\u00f3 el problema de Core Bluetooth en iOS 16.1 con derechos mejorados.<\/p>\n
Acreditado por descubrir e informar el error en agosto de 2022, est\u00e1 el desarrollador de aplicaciones Guilherme Rambo. El bicho, apodado SiriEsp\u00eda<\/strong>se le ha asignado el identificador CVE-2022-32946.<\/p>\n “Cualquier aplicaci\u00f3n con acceso a Bluetooth podr\u00eda grabar sus conversaciones con Siri y el audio de la funci\u00f3n de dictado del teclado de iOS cuando usa AirPods o auriculares Beats”, Rambo dijo<\/a> en un escrito.<\/p>\n “Esto suceder\u00eda sin que la aplicaci\u00f3n solicite permiso de acceso al micr\u00f3fono y sin que la aplicaci\u00f3n deje ning\u00fan rastro de que estaba escuchando el micr\u00f3fono”.<\/p>\n La vulnerabilidad, seg\u00fan Rambo, se relaciona con un servicio llamado DoAP que est\u00e1 incluido en AirPods para Siri y soporte de dictado, lo que permite a un actor malintencionado crear una aplicaci\u00f3n que podr\u00eda conectarse a los AirPods a trav\u00e9s de Bluetooth y grabar el audio en segundo plano.<\/p>\n Esto se ve agravado por el hecho de que “no hay solicitud para acceder al micr\u00f3fono, y la indicaci\u00f3n en el Centro de control solo muestra ‘Siri y Dictado’, no la aplicaci\u00f3n que estaba pasando por alto el permiso del micr\u00f3fono al hablar directamente con los AirPods a trav\u00e9s de Bluetooth LE”.<\/p>\n Si bien el ataque requiere que la aplicaci\u00f3n tenga acceso a Bluetooth, esta restricci\u00f3n se puede eludir de manera trivial, ya que es poco probable que los usuarios que otorgan acceso Bluetooth a la aplicaci\u00f3n esperen que tambi\u00e9n pueda abrir la puerta para acceder a sus conversaciones con Siri y al audio del dictado.<\/p>\n En macOS, sin embargo, se podr\u00eda abusar del exploit para lograr una omisi\u00f3n total de Transparencia, Consentimiento y Control (TCC<\/a>) marco de seguridad, lo que significa que cualquier aplicaci\u00f3n puede grabar conversaciones con Siri sin solicitar ning\u00fan permiso en primer lugar.<\/p>\n Rambo dijo que la raz\u00f3n de este comportamiento se debe a la falta de verificaciones de derechos para BTLEServerAgent, el servicio daemon responsable de manejar el audio DoAP.<\/p>\n A parche de software<\/a> La correcci\u00f3n de esta falla est\u00e1 disponible para iPhone 8 y posteriores, iPad Pro (todos los modelos), iPad Air de 3.\u00aa generaci\u00f3n y posteriores, iPad de 5.\u00aa generaci\u00f3n y posteriores, y iPad mini de 5.\u00aa generaci\u00f3n y posteriores. Tambi\u00e9n se ha resuelto en todos versiones compatibles<\/a> de macOS.<\/p>\n La actualizaci\u00f3n de iOS 16.1, que se lanz\u00f3 el 24 de octubre de 2022, viene con correcciones para un total de 20 fallas, incluida una vulnerabilidad de Kernel (CVE-2022-42827) que revel\u00f3 como explotada activamente en la naturaleza.<\/p>\n <\/p>\n<\/div>\n![\"iOS](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Una-falla-de-Apple-iOS-y-macOS-podria-haber-permitido.jpg\" "\\"iOS")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/10\/Adolescente-de-19-anos-arrestado-por-usar-datos-filtrados-de.png\")
<\/a><\/center><\/div>\n