Sicherheitslücke bei Zero-Click-Apple-Verknüpfungen ermöglicht stillen Datendiebstahl

Sicherheitslücke bei Zero-Click-Apple-Verknüpfungen ermöglicht stillen Datendiebstahl

Zeitstempel: 22. Februar 2024, 3:39 Uhr
Zero-Click-Apple-Shortcuts-Schwachstelle ermöglicht stillen Datendiebstahl PlatoBlockchain Data Intelligence. Vertikale Suche. Ai.

Es ist eine gefährliche Sicherheitslücke in Apple Shortcuts aufgetaucht, die Angreifern Zugriff auf vertrauliche Daten auf dem gesamten Gerät ermöglichen könnte, ohne dass der Benutzer dazu aufgefordert werden muss, Berechtigungen zu erteilen.

Die für macOS und iOS entwickelte Shortcuts-Anwendung von Apple zielt auf die Automatisierung von Aufgaben ab. Für Unternehmen ermöglicht es Benutzern, Makros zum Ausführen bestimmter Aufgaben auf ihren Geräten zu erstellen und diese dann in Workflows für alles von der Web-Automatisierung bis hin zu Smart-Factory-Funktionen zu kombinieren. Diese können dann online über iCloud und andere Plattformen mit Kollegen und Partnern geteilt werden.

Gemäß einer Analyse von Bitdefender Die heute veröffentlichte Sicherheitslücke (CVE-2024-23204) ermöglicht es, eine bösartige Shortcuts-Datei zu erstellen, die in der Lage wäre, das Sicherheits-Framework „Transparency, Consent, and Control“ (TCC) von Apple zu umgehen, das sicherstellen soll, dass Apps explizit um Erlaubnis bitten vom Benutzer erhalten, bevor er auf bestimmte Daten oder Funktionen zugreift.

Das heißt, wenn jemand seiner Bibliothek eine böswillige Verknüpfung hinzufügt, kann er stillschweigend vertrauliche Daten und Systeminformationen stehlen, ohne dass der Benutzer eine Zugriffsberechtigung erteilen muss. Im Rahmen ihres Proof-of-Concept (PoC)-Exploits konnten die Bitdefender-Forscher die Daten dann in einer verschlüsselten Bilddatei exfiltrieren.

„Da es sich bei Shortcuts um eine weit verbreitete Funktion zur effizienten Aufgabenverwaltung handelt, gibt die Schwachstelle Anlass zur Sorge hinsichtlich der unbeabsichtigten Verbreitung bösartiger Shortcuts über verschiedene Sharing-Plattformen“, heißt es in dem Bericht.

Der Fehler stellt eine Bedrohung für macOS- und iOS-Geräte dar, auf denen Versionen vor macOS Sonoma 14.3, iOS 17.3 und iPadOS 17.3 ausgeführt werden, und wird im Common Vulnerability Scoring System (CVSS) mit 7.5 von 10 möglichen Punkten (hoch) bewertet, weil dies möglich ist aus der Ferne ohne erforderliche Berechtigungen ausgenutzt werden.

Apple hat den Fehler behoben und „wir fordern Benutzer dringend auf, sicherzustellen, dass sie die neueste Version der Apple Shortcuts-Software verwenden“, sagt Bogdan Botezatu, Direktor für Bedrohungsforschung und Berichterstattung bei Bitdefender.

Sicherheitslücken bei Apple: Immer häufiger

Im Oktober, Accenture veröffentlicht Ein Bericht zeigt, dass die Zahl der Dark-Web-Bedrohungsakteure, die es auf macOS abgesehen haben, seit 2019 um das Zehnfache gestiegen ist – Tendenz steigend.

Die Ergebnisse fallen mit der Entstehung von zusammen ausgefeilte macOS-Infostealer Entwickelt, um die integrierte Erkennung von Apple zu umgehen. Und Kaspersky-Forscher vor kurzem entdeckt macOS-Malware zielt auf Bitcoin- und Exodus-Kryptowallets ab, wobei die Schadsoftware echte Apps durch kompromittierte Versionen ersetzt.

Außerdem werden immer wieder Fehler entdeckt, die den Einstieg erleichtern. Beispielsweise hat Apple Anfang des Jahres eine Zero-Day-Sicherheitslücke (CVE-2024-23222) in seinem behoben Die WebKit-Engine des Safari-Browsers, verursacht durch einen Typverwechslungsfehler, bei dem Annahmen zur Eingabevalidierung zu einer Ausnutzung führen können.

Um allgemein schlechte Ergebnisse für Apple zu vermeiden, rät der Bericht Benutzern dringend, macOS-, iPadOS- und watchOS-Geräte auf die neuesten Versionen zu aktualisieren, beim Ausführen von Verknüpfungen aus nicht vertrauenswürdigen Quellen Vorsicht walten zu lassen und regelmäßig nach Sicherheitsupdates und Patches von Apple zu suchen.

Zeitstempel:

Mehr von Dunkle Lektüre