A dangerous vulnerability in Apple Shortcuts has surfaced, which could give attackers access to sensitive data across the device without the user being asked to grant permissions.
Apple’s Shortcuts application, designed for macOS and iOS, is aimed at automating tasks. For businesses, it allows users to create macros for executing specific tasks on their devices, and then combine them into workflows for everything from Web automation to smart-factory functions. These can then be shared online through iCloud and other platforms with co-workers and partners.
با توجه به analysis from Bitdefender out today, the vulnerability (CVE-2024-23204) makes it possible to craft a malicious Shortcuts file that would be able to bypass Apple’s Transparency, Consent, and Control (TCC) security framework, which is supposed to ensure that apps explicitly request permission from the user before accessing certain data or functionalities.
That means that when someone adds a malicious shortcut to their library, it can silently pilfer sensitive data and systems information, without having to get the user to give access permission. In their proof-of-concept (PoC) exploit, Bitdefender researchers were then able to exfiltrate the data in an encrypted image file.
“With Shortcuts being a widely used feature for efficient task management, the vulnerability raises concerns about the inadvertent dissemination of malicious shortcuts through diverse sharing platforms,” the report noted.
The bug is a threat to macOS and iOS devices running versions preceding macOS Sonoma 14.3, iOS 17.3, and iPadOS 17.3, and it is rated 7.5 out of a possible 10 (high) on the Common Vulnerability Scoring System (CVSS) because it can be remotely exploited with no required privileges.
Apple has patched the bug, and “we are urging users to make sure they are running the latest version of the Apple Shortcuts software,” says Bogdan Botezatu, director of threat research and reporting at Bitdefender.
Apple Security Vulnerabilities: Ever More Common
در ماه اکتبر، Accenture published a report revealing a tenfold rise in Dark Web threat actors targeting macOS since 2019 — with the trend poised to continue.
The findings coincide with the emergence of sophisticated macOS infostealers created to bypass Apple’s built-in detection. And Kaspersky researchers به تازگی کشف شده macOS malware targeting Bitcoin and Exodus cryptowallets, with the malicious software substituting genuine apps with compromised versions.
Bugs also continue to come to light, making initial access easier. For instance, earlier this year Apple fixed a zero-day vulnerability (CVE-2024-23222) in its Safari browser’s WebKit engine, caused by a type confusion error, where input validation assumptions can lead to exploitation.
To avoid bad Apple outcomes in general, the report strongly advises users to update macOS, iPadOS, and watchOS devices to the latest versions, exercise caution when executing shortcuts from untrusted sources, and regularly check for security updates and patches from Apple.
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- : دارد
- :است
- :جایی که
- 10
- 14
- 17
- 2019
- 7
- a
- قادر
- درباره ما
- دسترسی
- دسترسی
- در میان
- بازیگران
- می افزاید:
- هدف
- اجازه می دهد تا
- همچنین
- an
- و
- اپل
- کاربرد
- برنامه های
- هستند
- مفروضات
- At
- اتوماسیون
- اتوماسیون
- اجتناب از
- بد
- BE
- زیرا
- قبل از
- بودن
- بیت کوین
- مرورگر
- اشکال
- ساخته شده در
- کسب و کار
- by
- گذرگاه
- CAN
- ایجاد می شود
- احتیاط
- معین
- بررسی
- ترکیب
- بیا
- مشترک
- در معرض خطر
- نگرانی ها
- گیجی
- رضایت
- ادامه دادن
- کنترل
- میتوانست
- سادگی
- ایجاد
- ایجاد شده
- خطرناک
- تاریک
- وب سایت تیره
- داده ها
- طراحی
- کشف
- دستگاه
- دستگاه ها
- مدیر
- مختلف
- پیش از آن
- آسان تر
- موثر
- خروج
- رمزگذاری
- اطمینان حاصل شود
- خطا
- تا کنون
- همه چیز
- اجرا کردن
- ورزش
- مهاجرت
- به صراحت
- بهره برداری
- بهره برداری
- سوء استفاده قرار گیرد
- ویژگی
- پرونده
- یافته ها
- ثابت
- برای
- چارچوب
- از جانب
- ویژگی های
- توابع
- سوالات عمومی
- واقعی
- دریافت کنید
- دادن
- اعطا کردن
- داشتن
- زیاد
- HTTPS
- تصویر
- in
- اطلاعات
- اول
- ورودی
- نمونه
- به
- IOS
- iPadOS
- IT
- ITS
- JPG
- کسپرسکی
- آخرین
- رهبری
- کتابخانه
- سبک
- MacOS در
- ماکرو
- ساخت
- باعث می شود
- ساخت
- مخرب
- نرم افزارهای مخرب
- مدیریت
- به معنی
- بیش
- نه
- اشاره کرد
- اکتبر
- of
- on
- آنلاین
- or
- دیگر
- خارج
- نتایج
- شرکای
- پچ های
- اجازه
- مجوز
- سیستم عامل
- افلاطون
- هوش داده افلاطون
- PlatoData
- پوک
- آمادگی
- ممکن
- ماقبل
- امتیازات
- افزایش
- دارای رتبه
- به طور منظم
- از راه دور
- گزارش
- گزارش
- درخواست
- ضروری
- تحقیق
- محققان
- آشکار
- طلوع
- در حال اجرا
- s
- می گوید:
- به ثمر رساندن
- تیم امنیت لاتاری
- حساس
- به اشتراک گذاشته شده
- اشتراک
- پس از
- نرم افزار
- کسی
- منابع
- خاص
- حمایت مالی
- به شدت
- مفروض
- مطمئن
- سیستم
- سیستم های
- هدف گذاری
- کار
- وظایف
- که
- La
- سرقت
- شان
- آنها
- سپس
- اینها
- آنها
- این
- در این سال
- تهدید
- بازیگران تهدید
- از طریق
- به
- امروز
- شفافیت
- روند
- نوع
- بروزرسانی
- به روز رسانی
- اصرار
- استفاده
- کاربر
- کاربران
- اعتبار سنجی
- نسخه
- نسخه
- آسیب پذیری ها
- آسیب پذیری
- we
- وب
- وب کیت
- بود
- چه زمانی
- که
- به طور گسترده ای
- با
- بدون
- گردش کار
- خواهد بود
- سال
- زفیرنت