Nullklõpsuga Apple'i otseteede haavatavus võimaldab vaikset andmevargust

Ilmnes Apple'i otseteede ohtlik haavatavus, mis võib anda ründajatele juurdepääsu tundlikele andmetele kogu seadmes, ilma et kasutajalt selleks luba küsitaks.

Apple'i rakendus Shortcuts, mis on loodud macOS-i ja iOS-i jaoks, on mõeldud ülesannete automatiseerimiseks. Ettevõtete jaoks võimaldab see kasutajatel luua makrosid konkreetsete ülesannete täitmiseks oma seadmetes ja seejärel kombineerida need töövoogudeks kõige jaoks alates veebiautomaatikast kuni nutika tehase funktsioonideni. Seejärel saab neid veebis iCloudi ja muude platvormide kaudu töökaaslaste ja partneritega jagada.

Vastavalt ühele analüüs Bitdefenderilt Täna avaldatud haavatavus (CVE-2024-23204) võimaldab luua pahatahtliku otseteede faili, mis suudaks mööda minna Apple'i läbipaistvuse, nõusoleku ja kontrolli (TCC) turberaamistikust, mis peaks tagama, et rakendused taotlevad selgesõnaliselt luba. kasutajalt enne teatud andmetele või funktsioonidele juurdepääsu.

See tähendab, et kui keegi lisab oma teeki pahatahtliku otsetee, võib see vaikselt varastada tundlikke andmeid ja süsteemiteavet, ilma et peaks kasutajalt juurdepääsuluba andma. Oma kontseptsiooni tõestamise (PoC) ärakasutamise käigus suutsid Bitdefenderi teadlased seejärel andmed krüptitud pildifailis välja filtreerida.

"Kuna otseteed on laialdaselt kasutatav funktsioon tõhusaks ülesannete haldamiseks, tekitab haavatavus muret pahatahtlike otseteede tahtmatu levitamise pärast erinevate jagamisplatvormide kaudu," märgiti aruandes.

Viga ohustab macOS-i ja iOS-i seadmeid, mis töötavad versioonidele macOS Sonoma 14.3, iOS 17.3 ja iPadOS 17.3 eelnevad versioonid, ning see on ühises haavatavuse hindamissüsteemis (CVSS) hinnatud 7.5 võimalikust 10-st (kõrge), kuna see võib kaugkasutatav ilma nõutavate õigusteta.

Apple on vea parandanud ja "soovitame kasutajatel veenduda, et nad kasutaksid Apple'i otseteede tarkvara uusimat versiooni," ütleb Bitdefenderi ohuuuringute ja aruandluse direktor Bogdan Botezatu.

Apple'i turvahaavatavus: üha tavalisem

Oktoobris, Accenture avaldas aruanne, mis näitab MacOS-i sihikule suunatud Dark Webi ohustajate arvu kümnekordset kasvu alates 2019. aastast – trend jätkub.

Leiud langevad kokku tekkega keerukad macOS-i infovarastajad loodud Apple'i sisseehitatud tuvastamisest mööda hiilimiseks. Ja Kaspersky teadlased hiljuti avastas MacOS-i pahavara, mis sihib Bitcoini ja Exoduse krüptorahasid, kusjuures pahatahtlik tarkvara asendab ehtsad rakendused ohustatud versioonidega.

Samuti ilmnevad jätkuvalt vead, mis muudavad esialgse juurdepääsu lihtsamaks. Näiteks selle aasta alguses parandas Apple oma nullpäeva haavatavuse (CVE-2024-23222). Safari brauseri WebKiti mootor, mis on põhjustatud tüübisegaduse veast, kus sisendi valideerimise eeldused võivad viia ekspluateerimiseni.

Apple'i halbade tulemuste vältimiseks üldiselt soovitatakse aruandes kasutajatel tungivalt värskendada macOS-i, iPadOS-i ja watchOS-i seadmeid uusimatele versioonidele, olla ebausaldusväärsetest allikatest pärit otseteede käivitamisel ettevaatlik ning kontrollida regulaarselt Apple'i turvavärskendusi ja -plaastreid.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• PlatoTervis. Biotehnoloogia ja kliiniliste uuringute luureandmed. Juurdepääs siia.
• Allikas: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft