苹果冻结了Walkie-Talkie应用程序 用于Watch for窃听漏洞利用

面对一个令人尴尬的Group FaceTime漏洞,让呼叫者听到未接听的iPhone附近的音频,苹果今天正在打击类似的Apple Watch问题(通过TechCrunch)。去年在watchOS 5中推出的Walkie-Talkie应用程序显然触发了同样的iPhone漏洞,并且在Apple修复时已被禁用。

苹果公司透露了这一缺陷及其在一夜之间解决问题的努力,禁止了Walkie-Talkie在Apple Watch设备之间自动连接的能力。加载后,应用程序似乎正常工作,直到选择人员进行通信,此时带有“检查可用性”的旋转指示器会连续循环而不进行连接。这是一个临时的服务器端禁用该功能,完全没有删除应用程序。

Apple在一份声明中表示:

我们刚刚意识到Apple Watch上的对讲机应用程序存在一个漏洞,并在快速修复问题的过程中禁用了该功能。对于给您带来的不便,我们深表歉意,并将尽快恢复功能。虽然我们不知道有任何针对客户的漏洞被利用,而且利用该漏洞需要特定的条件和事件序列,但我们非常重视客户的安全和隐私。我们得出的结论是,禁用该应用程序是正确的做法,因为这个漏洞可能会让某人在未经同意的情况下通过另一位客户的iPhone进行监听。对于这个问题和给您带来的不便,我们再次表示歉意。

虽然这个bug的性质非常令人担忧,但这次Apple的回应似乎比之前对Group FaceTime bug的反应有了重大改进。该公司表示,通过其漏洞报告门户网站“正好”了解了这个问题,该门户网站建议它采取行动,而不是等待数天到数月,或者在严肃对待他们的索赔之前让错误发现者通过挑战。苹果公司还迅速 - 更安静 - 地关闭了昨天名为Zoom的第三方应用程序中发现的网络摄像头漏洞。

另一方面,Walkie-Talkie漏洞存在的事实有点令人惊讶。Walkie-Talkie依靠FaceTime Audio在Apple Watch之间传送几乎即时的语音消息,消除了用户在播放之前正式接受每个通信的需要。一旦用户接受来自其他人的邀请,语音消息就可以被推送到手表并从手表中听到 - 但是,至少就用户所知,不记录或传送,除非用户按下大的“按键通话”按钮手表的脸。

因此,目前尚不清楚该漏洞如何在配对的iPhone上实现不必要的监听,但一些潜在的FaceTime Audio不安全似乎是负责任的,并且再次让iPhone用户无法知道 -可见或其他- 他们的设备可能正在收听他们。Apple称,该功能将在其服务器上禁用,直到可以在软件更新中推出特定于设备的修复程序。它可能需要在iOS 12和watchOS 5中推出,以及iOS 13和watchOS 6的测试版软件。