La vulnérabilité des raccourcis Apple Zero-Click permet un vol de données silencieux

La vulnérabilité des raccourcis Apple Zero-Click permet un vol de données silencieux

Horodatage: 22 février 2024 3:39
La vulnérabilité des raccourcis Apple sans clic permet le vol silencieux de données PlatoBlockchain Data Intelligence. Recherche verticale. Aï.

Une vulnérabilité dangereuse dans les raccourcis Apple est apparue, qui pourrait permettre aux attaquants d'accéder à des données sensibles sur l'appareil sans que l'utilisateur soit invité à accorder des autorisations.

L'application Raccourcis d'Apple, conçue pour macOS et iOS, vise à automatiser les tâches. Pour les entreprises, il permet aux utilisateurs de créer des macros pour exécuter des tâches spécifiques sur leurs appareils, puis de les combiner en flux de travail pour tout, de l'automatisation Web aux fonctions d'usine intelligente. Ceux-ci peuvent ensuite être partagés en ligne via iCloud et d’autres plateformes avec des collègues et partenaires.

Selon une analyse de Bitdefender disponible aujourd'hui, la vulnérabilité (CVE-2024-23204) permet de créer un fichier de raccourcis malveillant qui serait capable de contourner le cadre de sécurité de transparence, de consentement et de contrôle (TCC) d'Apple, censé garantir que les applications demandent explicitement l'autorisation. de l'utilisateur avant d'accéder à certaines données ou fonctionnalités.

Cela signifie que lorsque quelqu'un ajoute un raccourci malveillant à sa bibliothèque, il peut voler silencieusement des données sensibles et des informations système, sans avoir à demander à l'utilisateur de lui accorder une autorisation d'accès. Dans leur exploit de preuve de concept (PoC), les chercheurs de Bitdefender ont ensuite pu exfiltrer les données dans un fichier image crypté.

« Les raccourcis étant une fonctionnalité largement utilisée pour une gestion efficace des tâches, la vulnérabilité soulève des inquiétudes quant à la diffusion par inadvertance de raccourcis malveillants via diverses plateformes de partage », note le rapport.

Le bogue constitue une menace pour les appareils macOS et iOS exécutant des versions antérieures à macOS Sonoma 14.3, iOS 17.3 et iPadOS 17.3, et il est noté 7.5 sur 10 possibles (élevé) sur le Common Vulnerability Scoring System (CVSS), car il peut être exploité à distance sans privilèges requis.

Apple a corrigé le bug et « nous invitons les utilisateurs à s'assurer qu'ils utilisent la dernière version du logiciel Apple Shortcuts », déclare Bogdan Botezatu, directeur de la recherche et du reporting sur les menaces chez Bitdefender.

Vulnérabilités de sécurité Apple : de plus en plus courantes

En octobre, Accenture publié un rapport révélant une multiplication par dix du nombre d’acteurs menaçants du Dark Web ciblant macOS depuis 2019 – et cette tendance est sur le point de se poursuivre.

Les résultats coïncident avec l’émergence de voleurs d'informations macOS sophistiqués créé pour contourner la détection intégrée d'Apple. Et les chercheurs de Kaspersky récemment découvert Logiciel malveillant macOS ciblant les cryptowallets Bitcoin et Exodus, le logiciel malveillant remplaçant les applications authentiques par des versions compromises.

Des bugs continuent également d’apparaître, facilitant ainsi l’accès initial. Par exemple, plus tôt cette année, Apple a corrigé une vulnérabilité Zero Day (CVE-2024-23222) dans son Moteur WebKit du navigateur Safari, provoqué par une erreur de confusion de type, où les hypothèses de validation d'entrée peuvent conduire à une exploitation.

Pour éviter les mauvais résultats d'Apple en général, le rapport conseille fortement aux utilisateurs de mettre à jour les appareils macOS, iPadOS et watchOS vers les dernières versions, de faire preuve de prudence lors de l'exécution de raccourcis provenant de sources non fiables et de vérifier régulièrement les mises à jour de sécurité et les correctifs d'Apple.

Horodatage:

Plus de Lecture sombre