苹果iOS和macOS的安全漏洞

关键要点

• 安全漏洞CVE-2022-32946可能使恶意应用窃听Siri对话。
• 漏洞涉及AirPods的DoAP服务，并已在iOS 16.1更新中修复。
• 应用需要Bluetooth访问权限，用户对此通常缺乏警觉。

根据
的报道，苹果iOS和macOS操作系统中的一个安全漏洞CVE-2022-32946，可能使得某些程序能够通过蓝牙访问来窃听Siri对话。该漏洞的发现者GuilhermeRambo指出，此安全缺陷与内置于AirPods中为Siri和听写提供支持的DoAP服务有关，恶意攻击者可以创建一个应用，通过蓝牙连接到AirPods，后台捕捉音频。

尽管该攻击需要相关应用获得蓝牙访问权限，但此限制可以很容易被绕过。因为通常用户在给予应用蓝牙访问权限时，难以意识到这也可能意味着应用能够访问他们的Siri对话和听写音频。

苹果在其iOS 16.1更新中对包括CVE-2022-42827内核漏洞在内的20个漏洞进行了修复，苹果表示该漏洞目前正处于被利用状态。

漏洞编号 | 影响范围 | 修复版本
—|—|—
CVE-2022-32946 | iOS和macOS | iOS 16.1
CVE-2022-42827 | iOS和macOS | iOS 16.1

备注 ：保持操作系统和应用程序的最新状态对于防止安全漏洞被利用至关重要。