Μια επικίνδυνη ευπάθεια στις Συντομεύσεις της Apple εμφανίστηκε, η οποία θα μπορούσε να δώσει στους εισβολείς πρόσβαση σε ευαίσθητα δεδομένα σε όλη τη συσκευή χωρίς να ζητηθεί από τον χρήστη να χορηγήσει άδεια.
Η εφαρμογή Συντομεύσεις της Apple, σχεδιασμένη για macOS και iOS, στοχεύει στην αυτοματοποίηση εργασιών. Για τις επιχειρήσεις, επιτρέπει στους χρήστες να δημιουργούν μακροεντολές για την εκτέλεση συγκεκριμένων εργασιών στις συσκευές τους και, στη συνέχεια, να τις συνδυάζουν σε ροές εργασιών για τα πάντα, από την αυτοματοποίηση Web έως τις έξυπνες εργοστασιακές λειτουργίες. Στη συνέχεια, αυτά μπορούν να κοινοποιηθούν στο διαδίκτυο μέσω του iCloud και άλλων πλατφορμών με συναδέλφους και συνεργάτες.
Σύμφωνα με μια ανάλυση από το Bitdefender που κυκλοφορεί σήμερα, η ευπάθεια (CVE-2024-23204) καθιστά δυνατή τη δημιουργία ενός κακόβουλου αρχείου Συντομεύσεων που θα μπορούσε να παρακάμψει το πλαίσιο ασφαλείας Διαφάνεια, συναίνεση και έλεγχος (TCC) της Apple, το οποίο υποτίθεται ότι διασφαλίζει ότι οι εφαρμογές ζητούν ρητά άδεια από τον χρήστη πριν αποκτήσει πρόσβαση σε συγκεκριμένα δεδομένα ή λειτουργίες.
Αυτό σημαίνει ότι όταν κάποιος προσθέτει μια κακόβουλη συντόμευση στη βιβλιοθήκη του, μπορεί να κλέβει σιωπηλά ευαίσθητα δεδομένα και πληροφορίες συστημάτων, χωρίς να χρειάζεται να ζητήσει από τον χρήστη να δώσει άδεια πρόσβασης. Στην εκμετάλλευσή τους απόδειξης της ιδέας (PoC), οι ερευνητές του Bitdefender μπόρεσαν στη συνέχεια να εκμεταλλευτούν τα δεδομένα σε ένα κρυπτογραφημένο αρχείο εικόνας.
«Με τις Συντομεύσεις να είναι ένα ευρέως χρησιμοποιούμενο χαρακτηριστικό για αποτελεσματική διαχείριση εργασιών, η ευπάθεια εγείρει ανησυχίες σχετικά με την ακούσια διάδοση κακόβουλων συντομεύσεων μέσω διαφορετικών πλατφορμών κοινής χρήσης», σημειώνει η έκθεση.
Το σφάλμα αποτελεί απειλή για συσκευές macOS και iOS που εκτελούν εκδόσεις που προηγούνται του macOS Sonoma 14.3, iOS 17.3 και iPadOS 17.3 και βαθμολογείται με 7.5 από ένα πιθανό 10 (υψηλό) στο Common Vulnerability Scoring System (CVSS) επειδή μπορεί να απομακρυσμένη εκμετάλλευση χωρίς απαιτούμενα προνόμια.
Η Apple έχει διορθώσει το σφάλμα και «προτρέπουμε τους χρήστες να βεβαιωθούν ότι εκτελούν την πιο πρόσφατη έκδοση του λογισμικού Apple Shortcuts», λέει ο Bogdan Botezatu, διευθυντής έρευνας και αναφοράς απειλών στο Bitdefender.
Τρωτά σημεία ασφαλείας της Apple: Όλο και πιο συνηθισμένα
Τον Οκτώβριο, Έκδοση Accenture μια έκθεση που αποκαλύπτει μια δεκαπλάσια αύξηση των παραγόντων απειλών του Dark Web που στοχεύουν στο macOS από το 2019 — με την τάση να είναι έτοιμη να συνεχιστεί.
Τα ευρήματα συμπίπτουν με την εμφάνιση του εξελιγμένοι infostealers macOS δημιουργήθηκε για να παρακάμψει την ενσωματωμένη ανίχνευση της Apple. Και ερευνητές της Kaspersky ανακαλύφθηκε πρόσφατα Κακόβουλο λογισμικό macOS που στοχεύει Bitcoin και Exodus cryptowallets, με το κακόβουλο λογισμικό να αντικαθιστά τις γνήσιες εφαρμογές με παραβιασμένες εκδόσεις.
Τα σφάλματα συνεχίζουν επίσης να εμφανίζονται στο φως, κάνοντας την αρχική πρόσβαση ευκολότερη. Για παράδειγμα, νωρίτερα φέτος η Apple διόρθωσε μια ευπάθεια zero-day (CVE-2024-23222) στο Μηχανή WebKit του προγράμματος περιήγησης Safari, που προκαλείται από ένα σφάλμα σύγχυσης τύπου, όπου οι υποθέσεις επικύρωσης εισόδου μπορούν να οδηγήσουν σε εκμετάλλευση.
Για την αποφυγή κακών αποτελεσμάτων της Apple γενικά, η αναφορά συμβουλεύει σθεναρά τους χρήστες να ενημερώνουν τις συσκευές macOS, iPadOS και watchOS στις πιο πρόσφατες εκδόσεις, να είναι προσεκτικοί όταν εκτελούν συντομεύσεις από μη αξιόπιστες πηγές και να ελέγχουν τακτικά για ενημερώσεις ασφαλείας και ενημερώσεις κώδικα από την Apple.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- :έχει
- :είναι
- :που
- 10
- 14
- 17
- 2019
- 7
- a
- Ικανός
- Σχετικα
- πρόσβαση
- πρόσβαση
- απέναντι
- φορείς
- Προσθέτει
- Απευθύνεται
- επιτρέπει
- Επίσης
- an
- και
- Apple
- Εφαρμογή
- εφαρμογές
- ΕΙΝΑΙ
- παραδοχές
- At
- αυτοματοποίηση
- Αυτοματοποίηση
- αποφύγετε
- Κακός
- BE
- επειδή
- πριν
- είναι
- Bitcoin
- πρόγραμμα περιήγησης
- Έντομο
- ενσωματωμένο
- επιχειρήσεις
- by
- παρακάμψει
- CAN
- προκαλούνται
- προσοχή
- ορισμένες
- έλεγχος
- συνδυασμός
- Ελάτε
- Κοινός
- Συμβιβασμένος
- Πιθανά ερωτήματα
- σύγχυση
- συγκατάθεση
- ΣΥΝΕΧΕΙΑ
- έλεγχος
- θα μπορούσε να
- σκάφος
- δημιουργία
- δημιουργήθηκε
- Επικίνδυνες
- σκοτάδι
- Dark Web
- ημερομηνία
- σχεδιασμένα
- Ανίχνευση
- συσκευή
- Συσκευές
- Διευθυντής
- διάφορα
- Νωρίτερα
- ευκολότερη
- αποτελεσματικός
- εμφάνιση
- κρυπτογραφημένα
- εξασφαλίζω
- σφάλμα
- ΠΑΝΤΑ
- πάντα
- εκτέλεσης
- Άσκηση
- Exodus
- ρητά
- Εκμεταλλεύομαι
- εκμετάλλευση
- Κακοποιημένα
- Χαρακτηριστικό
- Αρχεία
- ευρήματα
- καθορίζεται
- Για
- Πλαίσιο
- από
- λειτουργίες
- λειτουργίες
- General
- γνήσια
- παίρνω
- Δώστε
- χορηγεί
- που έχει
- Ψηλά
- HTTPS
- εικόνα
- in
- πληροφορίες
- αρχικός
- εισαγωγή
- παράδειγμα
- σε
- iOS
- iPadOS
- IT
- ΤΟΥ
- jpg
- Kaspersky
- αργότερο
- οδηγήσει
- Βιβλιοθήκη
- φως
- MacOS
- μακροεντολές
- κάνω
- ΚΑΝΕΙ
- Κατασκευή
- κακόβουλο
- malware
- διαχείριση
- μέσα
- περισσότερο
- Όχι.
- Σημειώνεται
- Οκτώβριος
- of
- on
- διαδικτυακά (online)
- or
- ΑΛΛΑ
- έξω
- αποτελέσματα
- Συνεργάτες
- Patches
- άδεια
- δικαιώματα
- Πλατφόρμες
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- PoC
- έτοιμη
- δυνατός
- προηγείται
- προνόμια
- αυξήσεις
- βαθμολογια
- τακτικά
- μακρόθεν
- αναφέρουν
- Αναφορά
- ζητήσει
- απαιτείται
- έρευνα
- ερευνητές
- αποκαλύπτοντας
- Αύξηση
- τρέξιμο
- s
- λέει
- βαθμολόγησης
- ασφάλεια
- ευαίσθητος
- Shared
- μοιράζονται
- αφού
- λογισμικό
- Κάποιος
- Πηγές
- συγκεκριμένες
- ΧΟΡΗΓΟΥΜΕΝΟΙ
- δυνατά
- υποτιθεμένος
- βέβαιος
- σύστημα
- συστήματα
- στόχευση
- Έργο
- εργασίες
- ότι
- Η
- κλοπή
- τους
- Τους
- τότε
- Αυτοί
- αυτοί
- αυτό
- φέτος
- απειλή
- απειλή
- Μέσω
- προς την
- σήμερα
- Διαφάνεια
- τάση
- τύπος
- Ενημέρωση
- ενημερώσεις
- προτρέποντας
- μεταχειρισμένος
- Χρήστες
- Χρήστες
- επικύρωση
- εκδοχή
- εκδόσεις
- Θέματα ευπάθειας
- ευπάθεια
- we
- ιστός
- κιτ ιστού
- ήταν
- πότε
- Ποιό
- ευρέως
- με
- χωρίς
- ροές εργασίας
- θα
- έτος
- zephyrnet