Apple ha parcheado una falla de seguridad que dejaba a los dispositivos macOS e iOS vulnerables a tener interacciones con Siri espiadas y grabadas al usar accesorios como AirPods o auriculares Beats a través de Bluetooth.
La falla, que ahora se conoce como vulnerabilidad CVE-2022-32946, fue descubierta por el desarrollador de aplicaciones Guilherme Rambo, según Apple Insider.
La falla se asoció con productos Mac y iPhone o iPad y tuvo la oportunidad para que los usuarios piratearan sus accesorios de audio cuando usaran aplicaciones asociadas con audio debido a que la «aplicación necesitaba acceso al micrófono o mostraba que estaba usando el micrófono», dijo Apple Insider.
Según Rambo, se dio cuenta de que algo estaba mal cuando experimentó caídas en la calidad de audio mientras usaba Siri con AirPods encendidos, pero no cuando usaba el micrófono en este dispositivo macOS. Sin embargo, el cambio en la calidad de audio regresó cuando estaba en una videoconferencia.
Probó sus sospechas escribiendo una herramienta de línea de comandos llamada «bleutil» y descubrió que la herramienta interceptaba datos de audio para dispositivos Bluetooth de baja energía conectados a productos macOS y tampoco pedía permiso al micrófono para acceder al sistema.
Para probar aún más la falla, creó una aplicación que podía grabar a los usuarios a través de Siri sin solicitar permiso. La función ni siquiera se registraría en un Centro de Control de macOS, lo único que surgiría es «Siri y Dictado», dijo Apple Insider.
La aplicación era compatible con iPhone, iPad, Apple Watch y Apple TV para iOS 15 y la última versión beta de iOS 16 en ese momento a fines de agosto.
El desarrollador informó la falla a Apple el 26 de agosto, lo que permitió a la marca investigar su fuente y encontrar una solución, que se implementó en la actualización de iOS 16.1 para iPhones y la última actualización de macOS Ventura para computadoras. Sin embargo, se desconoce si algún actor malo tuvo acceso a la falla mientras aún estaba abierta.
Rambo recibió una recompensa de $ 7,000 de Apple por sus esfuerzos.
Esta no es la primera vez que Apple ejecuta problemas de Bluetooth en sus dispositivos. En marzo, la marca lanzó una actualización para su macOS Monterey 12.3.1 para abordar los problemas de Bluetooth y pantalla que han estado afectando a los propietarios de Mac durante varias semanas. En particular, la actualización se envió para corregir una falla de administración de energía con auriculares Bluetooth.