PT-2022-21601 · Apple · Ipados+4
Guilherme Rambo
·
Publicado
2022-10-27
·
Atualizado
2025-05-06
·
CVE-2022-32946
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N |
Nome do software vulnerável e versões afetadas
Versões do iOS anteriores à 16.1
Versões do iPadOS anteriores à 16.1
Descrição
A falha permitia que aplicativos com acesso ao Bluetooth gravassem áudio usando AirPods conectados, captando potencialmente conversas com a Siri e sons de fundo. Isso era possível devido a um problema no Core Bluetooth e no serviço DoAP, que suporta a Siri e o recurso de ditado nos AirPods. O problema não exigia que o aplicativo solicitasse permissão de acesso ao microfone e não deixava nenhum vestígio de escuta do microfone. A vulnerabilidade poderia ser explorada para contornar o sistema de segurança Transparência, Consentimento e Controle (TCC) no macOS, permitindo que qualquer aplicativo gravasse conversas com a Siri sem solicitar permissões.
Recomendações
Para versões do iOS anteriores à 16.1, atualize para o iOS 16.1 ou posterior para resolver o problema.
Para versões do iPadOS anteriores à 16.1, atualize para o iPadOS 16.1 ou posterior para resolver o problema.
Como solução temporária, considere desativar o acesso ao Bluetooth para aplicativos que não o exijam, a fim de minimizar o risco de exploração.
Restrinja o acesso ao serviço DoAP para impedir gravações de áudio não autorizadas.
Correção
Improper Access Control
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Airpods
Core Bluetooth
Ios
Ipados
Apple Macos