アンドリュー・オール
· 2分で読めます
シリ
iOS と macOS の最近のアップデートでは、Bluetooth にアクセスできるアプリが Siri との会話を録音できる可能性がある重大な欠陥が修正されました。
アプリは、AirPodsやBeatsヘッドセット使用時に、Siriとの会話やiOSキーボードの音声入力を録音できます。これは、アプリがマイクにアクセスしたり、マイクを使用していることを表示したりすることなく行われます。
開発者のGuilherme Rambo氏は8月26日にこのバグを発見し、Appleに報告しました。数日後、Appleは調査中との迅速な回答を得ました。Appleは脆弱性データベースでCVE-2022-32946として追跡されているこの脆弱性を、10月24日にiOS 16.1とmacOS Venturaで修正しました。
シリスパイ
ランボー氏はまず、Siri使用時のAirPodsの音質について疑問を呈し、マイク使用時には音質の低下はないと答えた。しかし、例えばビデオ会議中は音質が低下するのが一般的だと付け加えた。
彼は、自ら作成した「bleutil」というコマンドラインツールを使って調査を始めました。Ramboはこのツールを使って、macOS上のBluetooth Low Energyデバイスとやり取りすることができます。
テスト中、ランボー氏は、このツールがSiri使用中にAirPodsからの音声データを傍受し、システムからのマイク許可を必要としないことを発見しました。そこで彼は、iOS 15と最新のiOS 16ベータ版の両方を搭載したiPhone、iPad、Apple Watch、Apple TV向けのアプリを8月下旬に開発しました。
オーディオデータを取得するbleutilツール
このアプリでこの脆弱性をテストしたところ、Rambo氏はBluetoothの許可を得たアプリが許可を求めることなくバックグラウンドでユーザーを録音できることを発見しました。コントロールセンターには、アプリの代わりに実行中の機能として「Siriと音声入力」のみが表示されていました。
読者の皆様は、Ramboのウェブサイトで技術的な詳細を含む完全な説明をご覧いただけます。要するに、これは深刻な欠陥であり、他の人もこれに遭遇したかどうかは不明です。
自分を守る方法
この場合、iPhone と Mac との会話を保護する唯一の方法は、最新のソフトウェアを更新することです。
セキュリティの世界では、アップデートは最善かつ最も一般的なアドバイスです。アプリやオペレーティングシステムのアップデートには、古いソフトウェアバージョンで発見されたセキュリティ上の脆弱性がほぼ確実に修正されています。
幸いなことに、AppleはiOS 16、iPadOS 16、macOS Venturaで状況を改善しました。Rapid Security Responseと呼ばれる機能により、セキュリティパッチとソフトウェアアップデートが分離され、OSはこれまで以上に迅速にユーザーを保護します。
iOS 16では、設定 > 一般 > ソフトウェア・アップデート > 自動アップデートで設定できます。「セキュリティ対策とシステムファイルをインストール」というトグルをオンにすると、セキュリティバグの修正プログラムとシステムファイルが自動的にインストールされます。
Apple が古いシステム環境設定アプリを iOS 設定に似たものに再設計したため、macOS Ventura のシステム設定内の同じ場所にあります。
