นักพัฒนาพบช่องโหว่ iPhone ! ถูกดักฟังสนทนาผ่าน Siri ได้เมื่อต่อหูฟังบลูทูธ [แก้ไขแล้วบน iOS 16.1]

Guilherme Rambo นักพัฒนาโปรแกรม ได้พบบั๊คบน iPhone ที่ข้อมูลบทสนทนาของผู้ใช้อาจโดนบุคคลที่สามเข้าถึงได้ หากเชื่อมต่อบลูทูธกับหูฟังไร้สาย AirPods หรือ Beats ซึ่งเขาได้แจ้งกับทาง Apple ไปเมื่อวานที่ 26 สิงหาคม พ.ศ. 2565 (ค.ศ. 2022) และล่าสุดทาง Apple แก้ไขปัญหานี้เรียบร้อยแล้วบนระบบปฏิบัติการ iOS 16.1

อ่านเพิ่มเติม : วิธีอัปเดต iOS 16.1 และ iPadOS 16.1 ผ่าน OTA หรือ iTunes พร้อมลิงก์ดาวน์โหลดเฟิร์มแวร์ iOS และ iPadOS โดยตรง

โดยหากแอปฯ ต่าง ๆ ที่เราใช้งานมีการขออนุญาตให้เข้าถึงบลูทูธ เมื่อเราต่อหูฟังบลูทูธ แอปฯ จะสามารถดักฟังบทสนทนาของเราได้ผ่าน Siri รวมไปถึงคีย์บอร์ดบน iOS ซึ่งมีฟังก์ชันฟังการสนทนาเรา เพื่อไปใช้งานกับฟังก์ชัน Dictation ช่วยคาดเดาคำที่เราต้องการจะพิมพ์ โดยไม่ต้องขออนุญาตเข้าถึงไมโครโฟนให้เราเอะใจว่าโดนดักฟังบทสนทนาเลย

โดยปัญหานี้ ทาง Apple ได้ทำการแก้ไขแล้วบน iOS 16.1 รวมไปถึง บนระบบปฏิบัติการ macOS Ventura ด้วย "รหัสฐานข้อมูล CVE-2022-32946" ในวันที่ 24 ตุลาคม พ.ศ. 2565 (ค.ศ. 2022)

Rambo เจอปัญหานี้ได้อย่างไร ?

เรื่องนี้ไม่ได้เริ่มจากการขโมยข้อมูลโดยตรง แต่เขาสงสัยว่าเวลาใช้ Video Conference ทำไมเสียงจากไมโครโฟนเวลาใช้งาน AirPods ผ่าน Siri คุณภาพถึงไม่ลดลง ซึ่งโดยปรกติแล้วการประชุมผ่านวิดีโอ คุณภาพเสียงจะต้องลดลง

เขาจึงเขียนโปรแกรมผ่าน Command-line ที่ชื่อว่า "bleutil" ขึ้นมาทดสอบ สามารถใช้เข้าถึงอุปกรณ์ Bluetooth พลังงานต่ำบน macOS ได้ ซึ่งเขาพบว่าเครื่องมือที่เขียนมา สามารถเข้าถึงข้อมูลเสียงจาก AirPods ระหว่างที่เข้าใช้งาน Siri ได้ โดยไม่ต้องขออนุญาตเข้าใช้งานไมโครโฟนกับระบบ เขาจึงเขียนแอปฯ สำหรับ iPhone, iPad, Apple Watch, Apple TV ที่รันบน iOS 15 และ iOS 16 beta เพื่อทดสอบอีกครั้ง ซึ่งบนอุปกรณ์ต่าง ๆ ก็อยู่ในเงื่อนไขเดียวกันที่สามารถเข้าถึงข้อมูลเสียงสนทนาได้ด้วยการเข้าถึงแค่บลูทูธ

เครื่องมือ "Bleutil" ของ Rambo