Une faille permettait aux apps iOS d’écouter vos interactions avec Siri
Apple a corrigé SiriSpy, une faille au niveau d’iOS et de macOS qui permettait aux applications d’enregistrer vos interactions avec Siri, et ce sans votre accord au préalable. Le correctif est disponible avec iOS 16.1 et macOS Ventura qui sont tous les deux disponibles au téléchargement.
C’est le développeur Guilherme Rambo qui a découvert la faille et l’a signalée à Apple afin que la société la corrige. Voici ce qu’il explique :
Toute application ayant accès au Bluetooth pouvait enregistrer vos interactions avec Siri et l’audio de la fonction de dictée du clavier d’iOS lorsque vous utilisiez des écouteurs AirPods ou Beats. Cela se produisait sans que l’application ne demande l’autorisation d’accéder au micro et sans qu’elle ne laisse aucune trace de l’écoute du micro.
Le développeur a créé une application afin de faire des tests et voir comment il était possible d’enregistrer les interactions avec Siri sans avoir le feu vert de l’utilisateur. L’application a fait les choses suivantes :
- Demander l’autorisation pour utiliser le Bluetooth.
- Trouver un appareil Bluetooth LE connecté qui possède le service DoAP.
- S’abonner à ses caractéristiques pour être informée du début et de la fin du streaming audio, ainsi que de l’arrivée de données audio.
- Lorsque le streaming démarre, l’application crée un nouveau fichier .wav, puis envoie les paquets Opus provenant des AirPods dans un décodeur qui écrit ensuite l’audio non compressé dans le fichier.
- Lorsque le streaming s’arrête, l’application ferme le fichier .wav, puis envoie une notification push en local pour montrer qu’elle a réussi à enregistrer l’utilisateur en arrière-plan.
Sur iPhone, la permission pour utiliser le Bluetooth était obligatoire. Ce n’était pas le cas sur Mac où l’enregistrement pouvait se faire encore plus facilement.
La faille a été signalée le 26 août, Apple a répondu au développeur le 29 du même mois et a proposé le correctif cette semaine avec iOS 16.1 et macOS Ventura. Le lendemain de la sortie des mises à jour, Apple a versé 7 000$ au développeur en tant que récompense.
Fabuleux la confidentialité chez Apple….
Ils en profitent de vous épier puis correctif juste après une nouvelle faille permettant pareil comblée dans 3 mois…
Pas chez Apple les Bisounours.