Une vulnérabilité dangereuse dans les raccourcis Apple est apparue, qui pourrait permettre aux attaquants d'accéder à des données sensibles sur l'appareil sans que l'utilisateur soit invité à accorder des autorisations.
L'application Raccourcis d'Apple, conçue pour macOS et iOS, vise à automatiser les tâches. Pour les entreprises, il permet aux utilisateurs de créer des macros pour exécuter des tâches spécifiques sur leurs appareils, puis de les combiner en flux de travail pour tout, de l'automatisation Web aux fonctions d'usine intelligente. Ceux-ci peuvent ensuite être partagés en ligne via iCloud et d’autres plateformes avec des collègues et partenaires.
Selon une analyse de Bitdefender disponible aujourd'hui, la vulnérabilité (CVE-2024-23204) permet de créer un fichier de raccourcis malveillant qui serait capable de contourner le cadre de sécurité de transparence, de consentement et de contrôle (TCC) d'Apple, censé garantir que les applications demandent explicitement l'autorisation. de l'utilisateur avant d'accéder à certaines données ou fonctionnalités.
Cela signifie que lorsque quelqu'un ajoute un raccourci malveillant à sa bibliothèque, il peut voler silencieusement des données sensibles et des informations système, sans avoir à demander à l'utilisateur de lui accorder une autorisation d'accès. Dans leur exploit de preuve de concept (PoC), les chercheurs de Bitdefender ont ensuite pu exfiltrer les données dans un fichier image crypté.
« Les raccourcis étant une fonctionnalité largement utilisée pour une gestion efficace des tâches, la vulnérabilité soulève des inquiétudes quant à la diffusion par inadvertance de raccourcis malveillants via diverses plateformes de partage », note le rapport.
Le bogue constitue une menace pour les appareils macOS et iOS exécutant des versions antérieures à macOS Sonoma 14.3, iOS 17.3 et iPadOS 17.3, et il est noté 7.5 sur 10 possibles (élevé) sur le Common Vulnerability Scoring System (CVSS), car il peut être exploité à distance sans privilèges requis.
Apple a corrigé le bug et « nous invitons les utilisateurs à s'assurer qu'ils utilisent la dernière version du logiciel Apple Shortcuts », déclare Bogdan Botezatu, directeur de la recherche et du reporting sur les menaces chez Bitdefender.
Vulnérabilités de sécurité Apple : de plus en plus courantes
En octobre, Accenture publié un rapport révélant une multiplication par dix du nombre d’acteurs menaçants du Dark Web ciblant macOS depuis 2019 – et cette tendance est sur le point de se poursuivre.
Les résultats coïncident avec l’émergence de voleurs d'informations macOS sophistiqués créé pour contourner la détection intégrée d'Apple. Et les chercheurs de Kaspersky récemment découvert Logiciel malveillant macOS ciblant les cryptowallets Bitcoin et Exodus, le logiciel malveillant remplaçant les applications authentiques par des versions compromises.
Des bugs continuent également d’apparaître, facilitant ainsi l’accès initial. Par exemple, plus tôt cette année, Apple a corrigé une vulnérabilité Zero Day (CVE-2024-23222) dans son Moteur WebKit du navigateur Safari, provoqué par une erreur de confusion de type, où les hypothèses de validation d'entrée peuvent conduire à une exploitation.
Pour éviter les mauvais résultats d'Apple en général, le rapport conseille fortement aux utilisateurs de mettre à jour les appareils macOS, iPadOS et watchOS vers les dernières versions, de faire preuve de prudence lors de l'exécution de raccourcis provenant de sources non fiables et de vérifier régulièrement les mises à jour de sécurité et les correctifs d'Apple.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- :possède
- :est
- :où
- 10
- 14
- 17
- 2019
- 7
- a
- Capable
- A Propos
- accès
- accès
- à travers
- acteurs
- Ajoute
- Destinée
- permet
- aussi
- an
- et les
- Apple
- Application
- applications
- SONT
- hypothèses
- At
- automatiser
- Automation
- éviter
- Mal
- BE
- car
- before
- va
- Bitcoin
- navigateur
- Punaise
- intégré
- entreprises
- by
- contourner
- CAN
- causé
- prudence
- certaines
- vérifier
- combiner
- comment
- Commun
- Compromise
- Préoccupations
- confusion
- consentement
- continuer
- des bactéries
- pourriez
- élaborer
- engendrent
- créée
- dangereux
- Foncé
- Places de marché
- données
- un
- Détection
- dispositif
- Compatibles
- Directeur
- plusieurs
- Plus tôt
- plus facilement
- efficace
- émergence
- crypté
- assurer
- erreur
- JAMAIS
- peut
- exécution
- Exercises
- Exode
- explicitement
- Exploiter
- exploitation
- Exploités
- Fonctionnalité
- Déposez votre dernière attestation
- résultats
- fixé
- Pour
- Framework
- De
- fonctionnalités
- fonctions
- Général
- véritable
- obtenez
- Donner
- subvention
- ayant
- Haute
- HTTPS
- image
- in
- d'information
- initiale
- contribution
- instance
- développement
- iOS
- iPad
- IT
- SES
- jpg
- Kaspersky
- Nouveautés
- conduire
- Bibliothèque
- lumière
- macos
- macros
- a prendre une
- FAIT DU
- Fabrication
- malveillant
- malware
- gestion
- veux dire
- PLUS
- aucune
- noté
- octobre
- of
- on
- en ligne
- or
- Autre
- ande
- les résultats
- partenaires,
- Patches
- autorisation
- autorisations
- Plateformes
- Platon
- Intelligence des données Platon
- PlatonDonnées
- PoC
- en équilibre
- possible
- précédant
- privilèges
- soulève
- Évalué
- régulièrement
- à distance
- rapport
- Rapports
- nécessaire
- conditions
- un article
- chercheurs
- révélateur
- Augmenter
- pour le running
- s
- dit
- marquant
- sécurité
- sensible
- commun
- partage
- depuis
- Logiciels
- Quelqu'un
- Sources
- groupe de neurones
- Sponsorisé
- fortement
- supposé
- sûr
- combustion propre
- Système
- ciblage
- Tâche
- tâches
- qui
- Le
- vol
- leur
- Les
- puis
- Ces
- l'ont
- this
- cette année
- menace
- acteurs de la menace
- Avec
- à
- aujourd'hui
- Transparence
- Trend
- type
- Mises à jour
- Actualités
- exhortant
- d'utiliser
- Utilisateur
- utilisateurs
- validation
- version
- versions
- vulnérabilités
- vulnérabilité
- we
- web
- webkit
- ont été
- quand
- qui
- largement
- comprenant
- sans
- workflows
- pourra
- an
- zéphyrnet