Nollaklikkauksen Applen pikakuvakkeiden haavoittuvuus mahdollistaa hiljaisen datavarkauden

Apple Shortcutsissa on ilmaantunut vaarallinen haavoittuvuus, joka voi antaa hyökkääjille pääsyn arkaluontoisiin tietoihin laitteessa ilman, että käyttäjää pyydetään myöntämään käyttöoikeuksia.

Applen macOS:lle ja iOS:lle suunniteltu Shortcuts-sovellus on tarkoitettu tehtävien automatisointiin. Yrityksille sen avulla käyttäjät voivat luoda makroja tiettyjen tehtävien suorittamista varten laitteissaan ja yhdistää ne työnkuluiksi kaikkeen Web-automaatiosta älykkäisiin tehdastoimintoihin. Nämä voidaan sitten jakaa verkossa iCloudin ja muiden alustojen kautta työtovereiden ja kumppaneiden kanssa.

Erään Bitdefenderin analyysi Tänään julkaistu haavoittuvuus (CVE-2024-23204) mahdollistaa haitallisen pikakuvakkeet-tiedoston luomisen, joka voisi ohittaa Applen Transparency, Consent, and Control (TCC) -tietoturvakehyksen, jonka oletetaan varmistavan, että sovellukset pyytävät erikseen lupaa. käyttäjältä ennen tiettyjen tietojen tai toimintojen käyttöä.

Tämä tarkoittaa, että kun joku lisää haitallisen pikakuvakkeen kirjastoonsa, se voi hiljaa varastaa arkaluonteisia tietoja ja järjestelmätietoja ilman, että käyttäjän tarvitsee antaa käyttölupa. Bitdefenderin tutkijat pystyivät sitten suodattamaan tiedot salatussa kuvatiedostossa proof-of-concept (PoC) -hyödyntämisessä.

"Koska Shortcuts on laajalti käytetty ominaisuus tehokkaaseen tehtävien hallintaan, haavoittuvuus herättää huolta haitallisten pikakuvakkeiden vahingossa leviämisestä erilaisten jakamisalustojen kautta", raportissa todettiin.

Virhe uhkaa macOS- ja iOS-laitteita, joissa on macOS Sonoma 14.3:a, iOS 17.3:a ja iPadOS 17.3:a edeltävät versiot, ja sen luokitus on 7.5/10 (korkea) Common Vulnerability Scoring System (CVSS) -järjestelmässä, koska se voi olla etäkäyttöön ilman vaadittuja oikeuksia.

Apple on korjannut virheen, ja "kehotamme käyttäjiä varmistamaan, että he käyttävät Apple Shortcuts -ohjelmiston uusinta versiota", sanoo Bogdan Botezatu, Bitdefenderin uhkien tutkimuksen ja raportoinnin johtaja.

Applen tietoturvahaavoittuvuudet: yhä yleisempiä

Lokakuussa Accenture julkaistu raportti, joka paljastaa macOS:ään kohdistuneiden Dark Web -uhkatoimijoiden kymmenkertaistumisen vuodesta 2019 lähtien – trendin jatkuessa.

Havainnot osuvat samaan aikaan syntymisen kanssa kehittyneitä macOS-tietovarastoja luotu ohittamaan Applen sisäänrakennettu tunnistus. Ja Kasperskyn tutkijat Äskettäin löydetty macOS-haittaohjelmat, jotka kohdistuvat Bitcoin- ja Exodus-salauslompakoihin, ja haittaohjelmat korvaavat aidot sovellukset vaarantuneilla versioilla.

Virheitä tulee myös jatkuvasti ilmi, mikä helpottaa ensimmäistä pääsyä. Esimerkiksi aiemmin tänä vuonna Apple korjasi nollapäivän haavoittuvuuden (CVE-2024-23222) Safari-selaimen WebKit-moottori, joka johtuu tyyppisekoitusvirheestä, jossa syötteen validointioletukset voivat johtaa hyväksikäyttöön.

Applen huonojen tulosten välttämiseksi raportti kehottaa käyttäjiä päivittämään macOS-, iPadOS- ja watchOS-laitteet uusimpiin versioihin, olemaan varovaisia ​​suorittaessaan pikakuvakkeita epäluotettavista lähteistä ja tarkistamaan säännöllisesti Applen tietoturvapäivitykset ja -korjaukset.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft