Ha surgido una peligrosa vulnerabilidad en Apple Shortcuts, que podría dar a los atacantes acceso a datos confidenciales en todo el dispositivo sin que se le pida al usuario que otorgue permisos.
La aplicación Atajos de Apple, diseñada para macOS e iOS, tiene como objetivo automatizar tareas. Para las empresas, permite a los usuarios crear macros para ejecutar tareas específicas en sus dispositivos y luego combinarlas en flujos de trabajo para todo, desde la automatización web hasta funciones de fábrica inteligente. Luego se pueden compartir en línea a través de iCloud y otras plataformas con compañeros de trabajo y socios.
De acuerdo con un análisis de Bitdefender Descubierto hoy, la vulnerabilidad (CVE-2024-23204) hace posible crear un archivo de accesos directos malicioso que podría eludir el marco de seguridad de Transparencia, Consentimiento y Control (TCC) de Apple, que se supone garantiza que las aplicaciones soliciten permiso explícitamente. del usuario antes de acceder a determinados datos o funcionalidades.
Eso significa que cuando alguien agrega un acceso directo malicioso a su biblioteca, puede robar silenciosamente datos confidenciales e información de sistemas, sin tener que pedirle al usuario que dé permiso de acceso. En su exploit de prueba de concepto (PoC), los investigadores de Bitdefender pudieron filtrar los datos en un archivo de imagen cifrado.
"Dado que los atajos son una característica ampliamente utilizada para la gestión eficiente de tareas, la vulnerabilidad genera preocupaciones sobre la difusión inadvertida de atajos maliciosos a través de diversas plataformas de intercambio", señala el informe.
El error es una amenaza para los dispositivos macOS e iOS que ejecutan versiones anteriores a macOS Sonoma 14.3, iOS 17.3 y iPadOS 17.3, y tiene una calificación de 7.5 de un posible 10 (alto) en el Sistema de puntuación de vulnerabilidad común (CVSS) porque puede ser explotado remotamente sin privilegios requeridos.
Apple ha corregido el error y "instamos a los usuarios a asegurarse de que están ejecutando la última versión del software Apple Shortcuts", dice Bogdan Botezatu, director de investigación e informes de amenazas de Bitdefender.
Vulnerabilidades de seguridad de Apple: cada vez más comunes
En octubre, Accenture publicado un informe que revela un aumento diez veces mayor en los actores de amenazas de la Dark Web que apuntan a macOS desde 2019, y la tendencia está a punto de continuar.
Los hallazgos coinciden con la aparición de Ladrones de información sofisticados de macOS creado para evitar la detección integrada de Apple. Y los investigadores de Kaspersky Descubierto recientemente Malware de macOS dirigido a las criptomonedas Bitcoin y Exodus, y el software malicioso sustituye aplicaciones originales por versiones comprometidas.
También siguen saliendo a la luz errores que facilitan el acceso inicial. Por ejemplo, a principios de este año Apple solucionó una vulnerabilidad de día cero (CVE-2024-23222) en su Motor WebKit del navegador Safari, causado por un error de confusión de tipos, donde los supuestos de validación de entrada pueden conducir a una explotación.
Para evitar malos resultados de Apple en general, el informe recomienda encarecidamente a los usuarios que actualicen los dispositivos macOS, iPadOS y watchOS a las últimas versiones, tengan cuidado al ejecutar accesos directos de fuentes no confiables y verifiquen periódicamente si hay actualizaciones y parches de seguridad de Apple.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- :posee
- :es
- :dónde
- 10
- 14
- 17
- 2019
- 7
- a
- Poder
- Nuestra Empresa
- de la máquina
- el acceso
- a través de
- los actores
- Añade
- Dirigido
- permite
- también
- an
- y
- Apple
- Aplicación
- aplicaciones
- somos
- supuestos
- At
- automatizar
- Automatización
- evitar
- Malo
- BE
- porque
- antes
- "Ser"
- Bitcoin
- cada navegador
- Error
- incorporado
- negocios
- by
- evitar
- PUEDEN
- causado
- precaución
- a ciertos
- comprobar
- combinar
- cómo
- Algunos
- Comprometida
- Inquietudes
- confusión
- consentimiento
- continue
- control
- podría
- arte
- Para crear
- creado
- peligroso
- Oscuro
- Web Obscura
- datos
- diseñado
- Detección
- dispositivo
- Dispositivos
- Director
- diverso
- Más temprano
- más fácil
- eficiente
- aparición
- cifrado
- garantizar
- error
- NUNCA
- todo
- ejecución
- Haz ejercicio
- Exodus (Éxodo)
- explícitamente
- Explotar
- explotación
- Explotado
- Feature
- Archive
- Los resultados
- fijas
- Marco conceptual
- Desde
- funcionalidades
- funciones
- General
- genuino
- obtener
- Donar
- conceder
- es
- Alta
- HTTPS
- imagen
- in
- información
- inicial
- Las opciones de entrada
- ejemplo
- dentro
- iOS
- iPadOS
- IT
- SUS
- jpg
- Kaspersky
- más reciente
- Lead
- Biblioteca
- luz
- macos
- macros
- para lograr
- HACE
- Realizar
- malicioso
- el malware
- Management
- significa
- más,
- no
- señaló
- octubre
- of
- on
- en línea
- or
- Otro
- salir
- resultados
- socios
- Parches
- permiso
- permisos
- Plataformas
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- PoC
- listo
- posible
- anterior
- privilegios
- plantea
- Calificación
- regularmente
- de forma remota
- reporte
- Informes
- solicita
- Requisitos
- la investigación
- investigadores
- revelando
- Subir
- correr
- s
- dice
- tanteo
- EN LINEA
- sensible
- compartido
- compartir
- desde
- Software
- Alguien
- Fuentes
- soluciones y
- Patrocinado
- se mostró plenamente
- Supuesto
- seguro
- te
- Todas las funciones a su disposición
- orientación
- Tarea
- tareas
- esa
- La
- robo
- su
- Les
- luego
- Estas
- ellos
- así
- este año
- amenaza
- actores de amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a
- hoy
- Transparencia
- Tendencia
- tipo
- Actualizar
- Actualizaciones
- instando
- usado
- Usuario
- usuarios
- validación
- versión
- versiones
- Vulnerabilidades
- vulnerabilidad
- we
- web
- kit web
- tuvieron
- cuando
- que
- extensamente
- sin
- flujos de trabajo
- se
- año
- zephyrnet