Η ευπάθεια των συντομεύσεων Apple με μηδέν κλικ επιτρέπει την αθόρυβη κλοπή δεδομένων

Μια επικίνδυνη ευπάθεια στις Συντομεύσεις της Apple εμφανίστηκε, η οποία θα μπορούσε να δώσει στους εισβολείς πρόσβαση σε ευαίσθητα δεδομένα σε όλη τη συσκευή χωρίς να ζητηθεί από τον χρήστη να χορηγήσει άδεια.

Η εφαρμογή Συντομεύσεις της Apple, σχεδιασμένη για macOS και iOS, στοχεύει στην αυτοματοποίηση εργασιών. Για τις επιχειρήσεις, επιτρέπει στους χρήστες να δημιουργούν μακροεντολές για την εκτέλεση συγκεκριμένων εργασιών στις συσκευές τους και, στη συνέχεια, να τις συνδυάζουν σε ροές εργασιών για τα πάντα, από την αυτοματοποίηση Web έως τις έξυπνες εργοστασιακές λειτουργίες. Στη συνέχεια, αυτά μπορούν να κοινοποιηθούν στο διαδίκτυο μέσω του iCloud και άλλων πλατφορμών με συναδέλφους και συνεργάτες.

Σύμφωνα με μια ανάλυση από το Bitdefender που κυκλοφορεί σήμερα, η ευπάθεια (CVE-2024-23204) καθιστά δυνατή τη δημιουργία ενός κακόβουλου αρχείου Συντομεύσεων που θα μπορούσε να παρακάμψει το πλαίσιο ασφαλείας Διαφάνεια, συναίνεση και έλεγχος (TCC) της Apple, το οποίο υποτίθεται ότι διασφαλίζει ότι οι εφαρμογές ζητούν ρητά άδεια από τον χρήστη πριν αποκτήσει πρόσβαση σε συγκεκριμένα δεδομένα ή λειτουργίες.

Αυτό σημαίνει ότι όταν κάποιος προσθέτει μια κακόβουλη συντόμευση στη βιβλιοθήκη του, μπορεί να κλέβει σιωπηλά ευαίσθητα δεδομένα και πληροφορίες συστημάτων, χωρίς να χρειάζεται να ζητήσει από τον χρήστη να δώσει άδεια πρόσβασης. Στην εκμετάλλευσή τους απόδειξης της ιδέας (PoC), οι ερευνητές του Bitdefender μπόρεσαν στη συνέχεια να εκμεταλλευτούν τα δεδομένα σε ένα κρυπτογραφημένο αρχείο εικόνας.

«Με τις Συντομεύσεις να είναι ένα ευρέως χρησιμοποιούμενο χαρακτηριστικό για αποτελεσματική διαχείριση εργασιών, η ευπάθεια εγείρει ανησυχίες σχετικά με την ακούσια διάδοση κακόβουλων συντομεύσεων μέσω διαφορετικών πλατφορμών κοινής χρήσης», σημειώνει η έκθεση.

Το σφάλμα αποτελεί απειλή για συσκευές macOS και iOS που εκτελούν εκδόσεις που προηγούνται του macOS Sonoma 14.3, iOS 17.3 και iPadOS 17.3 και βαθμολογείται με 7.5 από ένα πιθανό 10 (υψηλό) στο Common Vulnerability Scoring System (CVSS) επειδή μπορεί να απομακρυσμένη εκμετάλλευση χωρίς απαιτούμενα προνόμια.

Η Apple έχει διορθώσει το σφάλμα και «προτρέπουμε τους χρήστες να βεβαιωθούν ότι εκτελούν την πιο πρόσφατη έκδοση του λογισμικού Apple Shortcuts», λέει ο Bogdan Botezatu, διευθυντής έρευνας και αναφοράς απειλών στο Bitdefender.

Τρωτά σημεία ασφαλείας της Apple: Όλο και πιο συνηθισμένα

Τον Οκτώβριο, Έκδοση Accenture μια έκθεση που αποκαλύπτει μια δεκαπλάσια αύξηση των παραγόντων απειλών του Dark Web που στοχεύουν στο macOS από το 2019 — με την τάση να είναι έτοιμη να συνεχιστεί.

Τα ευρήματα συμπίπτουν με την εμφάνιση του εξελιγμένοι infostealers macOS δημιουργήθηκε για να παρακάμψει την ενσωματωμένη ανίχνευση της Apple. Και ερευνητές της Kaspersky ανακαλύφθηκε πρόσφατα Κακόβουλο λογισμικό macOS που στοχεύει Bitcoin και Exodus cryptowallets, με το κακόβουλο λογισμικό να αντικαθιστά τις γνήσιες εφαρμογές με παραβιασμένες εκδόσεις.

Τα σφάλματα συνεχίζουν επίσης να εμφανίζονται στο φως, κάνοντας την αρχική πρόσβαση ευκολότερη. Για παράδειγμα, νωρίτερα φέτος η Apple διόρθωσε μια ευπάθεια zero-day (CVE-2024-23222) στο Μηχανή WebKit του προγράμματος περιήγησης Safari, που προκαλείται από ένα σφάλμα σύγχυσης τύπου, όπου οι υποθέσεις επικύρωσης εισόδου μπορούν να οδηγήσουν σε εκμετάλλευση.

Για την αποφυγή κακών αποτελεσμάτων της Apple γενικά, η αναφορά συμβουλεύει σθεναρά τους χρήστες να ενημερώνουν τις συσκευές macOS, iPadOS και watchOS στις πιο πρόσφατες εκδόσεις, να είναι προσεκτικοί όταν εκτελούν συντομεύσεις από μη αξιόπιστες πηγές και να ελέγχουν τακτικά για ενημερώσεις ασφαλείας και ενημερώσεις κώδικα από την Apple.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft