ظهرت ثغرة أمنية خطيرة في Apple Shortcuts، والتي قد تمنح المهاجمين إمكانية الوصول إلى البيانات الحساسة عبر الجهاز دون مطالبة المستخدم بمنح الأذونات.
يهدف تطبيق Apple Shortcuts، المصمم لنظامي التشغيل macOS وiOS، إلى أتمتة المهام. بالنسبة للشركات، فهو يسمح للمستخدمين بإنشاء وحدات ماكرو لتنفيذ مهام محددة على أجهزتهم، ثم دمجها في مهام سير العمل لكل شيء بدءًا من أتمتة الويب إلى وظائف المصنع الذكي. ويمكن بعد ذلك مشاركتها عبر الإنترنت من خلال iCloud ومنصات أخرى مع زملاء العمل والشركاء.
وفقا ل التحليل من Bitdefender اليوم، تتيح الثغرة الأمنية (CVE-2024-23204) إمكانية إنشاء ملف اختصارات ضار يمكنه تجاوز إطار أمان الشفافية والموافقة والتحكم (TCC) الخاص بشركة Apple، والذي من المفترض أن يضمن أن التطبيقات تطلب الإذن بشكل صريح من المستخدم قبل الوصول إلى بيانات أو وظائف معينة.
وهذا يعني أنه عندما يضيف شخص ما اختصارًا ضارًا إلى مكتبته، فيمكنه سرقة البيانات الحساسة ومعلومات الأنظمة بصمت، دون الحاجة إلى الحصول على إذن الوصول من المستخدم. ومن خلال استغلال إثبات المفهوم (PoC)، تمكن باحثو Bitdefender بعد ذلك من استخراج البيانات في ملف صورة مشفر.
وأشار التقرير إلى أنه "مع كون الاختصارات ميزة مستخدمة على نطاق واسع لإدارة المهام بكفاءة، فإن الثغرة الأمنية تثير مخاوف بشأن النشر غير المقصود للاختصارات الضارة من خلال منصات المشاركة المتنوعة".
يمثل الخطأ تهديدًا لأجهزة macOS وiOS التي تعمل بالإصدارات السابقة لـ macOS Sonoma 14.3 وiOS 17.3 وiPadOS 17.3، وقد حصل على تقييم 7.5 من أصل 10 (مرتفع) في نظام تسجيل الثغرات الأمنية الشائعة (CVSS) لأنه يمكن أن يكون استغلالها عن بعد مع عدم وجود الامتيازات المطلوبة.
قامت شركة Apple بتصحيح الخطأ، و"نحن نحث المستخدمين على التأكد من أنهم يشغلون أحدث إصدار من برنامج Apple Shortcuts"، كما يقول بوجدان بوتيزاتو، مدير أبحاث التهديدات وإعداد التقارير في Bitdefender.
الثغرات الأمنية في Apple: أكثر شيوعًا من أي وقت مضى
في أكتوبر، نشرت شركة أكسنتشر تقرير يكشف عن ارتفاع بمقدار عشرة أضعاف في عدد الجهات الفاعلة في تهديدات الويب المظلم التي تستهدف نظام التشغيل macOS منذ عام 2019 - مع توقع استمرار هذا الاتجاه.
وتتزامن النتائج مع ظهور سارقي معلومات macOS المتطورين تم إنشاؤها لتجاوز الكشف المدمج في Apple. وباحثو كاسبرسكي اكتشف مؤخرا تستهدف البرامج الضارة لنظام التشغيل macOS محافظ Bitcoin وExodus المشفرة، حيث تستبدل البرامج الضارة التطبيقات الأصلية بإصدارات مخترقة.
تستمر الأخطاء أيضًا في الظهور، مما يجعل الوصول الأولي أسهل. على سبيل المثال، قامت شركة Apple في وقت سابق من هذا العام بإصلاح ثغرة أمنية يوم الصفر (CVE-2024-23222) في نظامها. محرك WebKit لمتصفح سفاري، بسبب خطأ في ارتباك النوع، حيث يمكن أن تؤدي افتراضات التحقق من صحة الإدخال إلى الاستغلال.
ولتجنب نتائج Apple السيئة بشكل عام، ينصح التقرير المستخدمين بشدة بتحديث أجهزة macOS وiPadOS وwatchOS إلى أحدث الإصدارات، وتوخي الحذر عند تنفيذ الاختصارات من مصادر غير موثوقة، والتحقق بانتظام من التحديثات الأمنية والتصحيحات من Apple.
- محتوى مدعوم من تحسين محركات البحث وتوزيع العلاقات العامة. تضخيم اليوم.
- PlatoData.Network Vertical Generative Ai. تمكين نفسك. الوصول هنا.
- أفلاطونايستريم. ذكاء Web3. تضخيم المعرفة. الوصول هنا.
- أفلاطون كربون، كلينتك ، الطاقة، بيئة، شمسي، إدارة المخلفات. الوصول هنا.
- أفلاطون هيلث. التكنولوجيا الحيوية وذكاء التجارب السريرية. الوصول هنا.
- المصدر https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- :لديها
- :يكون
- :أين
- 10
- 14
- 17
- 2019
- 7
- a
- ماهرون
- من نحن
- الوصول
- الوصول
- في
- الجهات الفاعلة
- يضيف
- تهدف
- يسمح
- أيضا
- an
- و
- تفاح
- تطبيق
- التطبيقات
- هي
- الافتراضات
- At
- أتمتة
- أتمتة
- تجنب
- سيئة
- BE
- لان
- قبل
- يجري
- إلى البيتكوين
- المتصفح
- علة
- مدمج
- الأعمال
- by
- تجنب
- CAN
- تسبب
- الحذر
- معين
- التحقق
- دمج
- تأتي
- مشترك
- تسوية
- اهتمامات
- ارتباك
- موافقة
- استمر
- مراقبة
- استطاع
- حرفة
- خلق
- خلق
- خطير
- غامق
- الويب المظلم
- البيانات
- تصميم
- كشف
- جهاز
- الأجهزة
- مدير المدارس
- عدة
- في وقت سابق
- أسهل
- فعال
- ظهور
- مشفرة
- ضمان
- خطأ
- EVER
- كل شىء
- تنفيذ
- ممارسة
- هجرة جماعية
- صراحة
- استغلال
- استغلال
- استغلال
- الميزات
- قم بتقديم
- النتائج
- ثابت
- في حالة
- الإطار
- تبدأ من
- وظائف
- وظائف
- العلاجات العامة
- حقيقي
- دولار فقط واحصل على خصم XNUMX% على جميع
- منح
- منح
- وجود
- مرتفع
- HTTPS
- صورة
- in
- معلومات
- في البداية
- إدخال
- مثل
- إلى
- آيفون
- iPadOS
- IT
- انها
- JPG
- Kaspersky
- آخر
- قيادة
- المكتبة
- ضوء
- ماك
- وحدات الماكرو
- جعل
- يصنع
- القيام ب
- خبيث
- البرمجيات الخبيثة
- إدارة
- يعني
- الأكثر من ذلك
- لا
- وأشار
- شهر اكتوبر
- of
- on
- online
- or
- أخرى
- خارج
- النتائج
- شركاء
- بقع
- إذن
- أذونات
- بلاتفورم
- أفلاطون
- الذكاء افلاطون البيانات
- أفلاطون داتا
- اضغط لتتحدث
- تستعد
- ممكن
- السابقة
- الامتيازات
- يثير
- مقدر
- بانتظام
- بعد
- تقرير
- التقارير
- طلب
- مطلوب
- بحث
- الباحثين
- كاشفا
- ارتفاع
- تشغيل
- s
- يقول
- النقاط
- أمن
- حساس
- شاركت
- مشاركة
- منذ
- تطبيقات الكمبيوتر
- شخص ما
- مصادر
- محدد
- المدعومة
- بقوة
- مفترض
- بالتأكيد
- نظام
- أنظمة
- استهداف
- مهمة
- المهام
- أن
- •
- سرقة
- من مشاركة
- منهم
- then
- تشبه
- هم
- هذا العام
- التهديد
- الجهات التهديد
- عبر
- إلى
- اليوم
- الشفافية
- اكثر شيوعا
- نوع
- تحديث
- آخر التحديثات
- وحث
- مستعمل
- مستخدم
- المستخدمين
- التحقق من صحة
- الإصدار
- الإصدارات
- نقاط الضعف
- الضعف
- we
- الويب
- طقم الويب
- كان
- متى
- التي
- على نحو واسع
- مع
- بدون
- سير العمل
- سوف
- عام
- زفيرنت