Apple hat diese Woche iOS 16.1 und macOS Ventura für alle Nutzer freigegeben. Neben einigen neuen Funktionen und Änderungen, gibt es auch Sicherheitsbehebungen. Eine der wichtigsten Korrekturen betrifft einen Fehler, der es Apps ermöglicht, Gespräche mit Siri und Spracheingaben über die Tastaturdiktierfunktion unbemerkt abzuhören, wenn AirPods oder Beats-Kopfhörer verwendet werden.
„SiriSpy“-Bug behoben
Der Fehler wurde von dem Indie-Entwickler Guilherme Rambo entdeckt, der den Bug an Apple meldete. Rambo entdeckte den Fehler bei der Arbeit an seiner App „AirBuddy“, die es einfacher macht, AirPods, Beats und anderes Bluetooth-Zubehör mit dem Mac zu verbinden.
Im Detail hat Rambo den Fehler in einem Blog-Eintrag erläutert. Hier ist die Kurzfassung der Fehlerbeschreibung:
„Jede App mit Zugriff auf Bluetooth konnte deine Unterhaltungen mit Siri und Audio von der iOS-Tastaturdiktierfunktion aufzeichnen, wenn du AirPods oder Beats-Kopfhörer benutzt. Dies geschah, ohne dass die App die Erlaubnis zum Zugriff auf das Mikrofon anforderte und ohne dass die App eine Spur hinterließ, dass sie das Mikrofon abhörte.“
Letztendlich heißt dies, dass Apps beim Einsatz von AirPods oder Beats-Kopfhörer keine Genehmigung des Nutzers einfordern mussten, um auf Spracheingaben aus der Siri- oder Tastaturdiktierfunktion zugreifen zu können. Das integrierte Mikrofon von Apple-Geräten erforderte nach wie vor eine Genehmigung des Nutzers für den Zugriff. Betroffen waren iOS, iPadOS und macOS.
Unter iOS und iPadOS musste der Nutzer der App zumindest den Zugriff auf die Bluetooth-Verbindung gewähren, aber wie Rambo betont, „würden die meisten Nutzer nicht erwarten, dass der Zugriff auf Bluetooth einer App auch den Zugriff auf ihre Gespräche mit Siri und Audio aus dem Diktat ermöglicht.“
Die Schwachstelle betraf nur Siri und die Tastaturdiktierfunktion im Zusammenspiel mit Bluetooth, da Apple hier eine „Optimierung“ vorgenommen hatte, die zu dieser Schwachstelle überhaupt erst geführt hat. Zugriff auf Daten anderer Nutzung, wie zum Beispiel Telefonate oder Voice-Chat, war durch die Sicherheitslücke nicht möglich.
Der Entwickler meldete den Fehler am 26. August an Apple, erhielt am 29. August eine Antwort, und die Software-Updates zur Behebung des Problems wurden am 24. Oktober veröffentlicht. Die vor kurzem erschienenen Updates (iOS 16.1, macOS Ventura und iPadOS 16) beheben somit den Bug.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen
0 Kommentare