Un bug concernant Siri a permis aux développeurs d'avoir accès à vos échanges avec l’assistant vocal

Les assistants vocaux sont toujours une source d'inquiétude pour la confidentialité. Avec des assistants qui se déclenchent via des commandes vocales (donc qui écoutent en permanence ce qui se passe chez vous) ou même des requêtes qui font l'objet d'analyses pour des améliorations, certains assistants vocaux ont déjà été au cœur de plusieurs scandales.

Un bug de Siri a permis aux développeurs d'accéder à vos récentes requêtes Siri

Personne ne s'en est aperçu, mais depuis le lancement d'iOS 16 qui a eu lieu le 12 septembre dernier, Siri a fait face à un grave bug pour la vie privée des utilisateurs. En effet, comme l'ont découvert le créateur de l'app AirBuddy et un lecteur de 9to5mac, les développeurs d'applications iOS ont eu accès pendant un long moment à vos échanges avec Siri !
Voici ce qui a été signalé :

Lorsque vous utilisez des écouteurs AirPods ou Beats, toute application ayant accès à Bluetooth peut capturer vos interactions avec Siri ainsi que l'audio de la fonction de dictée du clavier iOS. Cela se produit sans que l'application ne demande la permission d'accéder au microphone ou ne donne une indication quelconque qu'elle l'écoute.

Le développeur d'AirBuddy a créé une application pour tester quelles plates-formes d'Apple ont été touchées une fois qu'il a identifié cette faille. Voici ce qui était nécessaire pour accéder aux enregistrements de Siri :

• Demander l'autorisation d'accès au Bluetooth à l'utilisateur
• Détecter le périphérique Bluetooth qui est connecté et qui dispose du servce DoAP
• Suivre les activités pour être informé du début et de l'arrêt de la diffusion en continu, et de l'arrivée des données audio.
• Lorsque la diffusion en continu commence, crée un nouveau fichier .wav, puis alimenter les paquets Opus provenant des AirPods dans un décodeur, qui écrit ensuite l'audio non compressé dans le fichier.
• Une fois le streaming terminé, le fichier .wav est fermé, et un message push local est envoyé pour montrer que l'application a réussi à capturer l'utilisateur en arrière-plan.

Il faut toujours l'autorisation de l'utilisateur pour utiliser le Bluetooth sur iOS, mais comme le souligne le développeur d'AirBuddy, "la plupart des consommateurs ne croiraient pas que permettre à une application d'accéder à Bluetooth pourrait également lui donner accès à leurs interactions avec Siri et à l'audio de la dictée."

À l'heure actuelle, la faille de sécurité n'est plus d'actualité. Apple l'a corrigée dès la mise à jour iOS 16.1, toutefois, elle est restée présente pendant plusieurs semaines, ce qui signifie que les développeurs qui ont compris le procédé ci-dessus ont pu écouter vos échanges avec Siri. Si cela n'est pas gênant pour les requêtes "Dis Siri", ça devient plus délicat quand on sait que cela a touché les dictées sur le clavier.