ज़ीरो-क्लिक ऐप्पल शॉर्टकट भेद्यता साइलेंट डेटा चोरी की अनुमति देती है

Apple शॉर्टकट्स में एक खतरनाक भेद्यता सामने आई है, जो हमलावरों को उपयोगकर्ता से अनुमति मांगे बिना पूरे डिवाइस में संवेदनशील डेटा तक पहुंच प्रदान कर सकती है।

MacOS और iOS के लिए डिज़ाइन किया गया Apple का शॉर्टकट एप्लिकेशन, कार्यों को स्वचालित करने के उद्देश्य से है। व्यवसायों के लिए, यह उपयोगकर्ताओं को अपने उपकरणों पर विशिष्ट कार्यों को निष्पादित करने के लिए मैक्रोज़ बनाने की अनुमति देता है, और फिर उन्हें वेब ऑटोमेशन से लेकर स्मार्ट-फ़ैक्टरी फ़ंक्शंस तक हर चीज़ के लिए वर्कफ़्लो में संयोजित करता है। फिर इन्हें iCloud और अन्य प्लेटफार्मों के माध्यम से सहकर्मियों और भागीदारों के साथ ऑनलाइन साझा किया जा सकता है।

एक के अनुसार बिटडेफ़ेंडर से विश्लेषण आज, भेद्यता (सीवीई-2024-23204) एक दुर्भावनापूर्ण शॉर्टकट फ़ाइल को तैयार करना संभव बनाती है जो ऐप्पल की पारदर्शिता, सहमति और नियंत्रण (टीसीसी) सुरक्षा ढांचे को बायपास करने में सक्षम होगी, जो यह सुनिश्चित करती है कि ऐप्स स्पष्ट रूप से अनुमति का अनुरोध करें कुछ डेटा या कार्यात्मकताओं तक पहुँचने से पहले उपयोगकर्ता से।

इसका मतलब यह है कि जब कोई अपनी लाइब्रेरी में दुर्भावनापूर्ण शॉर्टकट जोड़ता है, तो यह उपयोगकर्ता से एक्सेस अनुमति दिए बिना चुपचाप संवेदनशील डेटा और सिस्टम जानकारी चुरा सकता है। अपने प्रूफ-ऑफ-कॉन्सेप्ट (पीओसी) शोषण में, बिटडेफ़ेंडर शोधकर्ता एक एन्क्रिप्टेड छवि फ़ाइल में डेटा को बाहर निकालने में सक्षम थे।

रिपोर्ट में कहा गया है, "कुशल कार्य प्रबंधन के लिए शॉर्टकट व्यापक रूप से उपयोग की जाने वाली सुविधा है, भेद्यता विविध साझाकरण प्लेटफार्मों के माध्यम से दुर्भावनापूर्ण शॉर्टकट के अनजाने प्रसार के बारे में चिंता पैदा करती है।"

यह बग macOS सोनोमा 14.3, iOS 17.3 और iPadOS 17.3 से पहले के संस्करण चलाने वाले macOS और iOS उपकरणों के लिए खतरा है, और इसे कॉमन वल्नरेबिलिटी स्कोरिंग सिस्टम (CVSS) पर संभावित 7.5 (उच्च) में से 10 रेटिंग दी गई है क्योंकि यह हो सकता है बिना किसी आवश्यक विशेषाधिकार के दूरस्थ रूप से शोषण किया गया।

बिटडेफ़ेंडर में खतरा अनुसंधान और रिपोर्टिंग के निदेशक बोगदान बोटेज़ातु कहते हैं, ऐप्पल ने बग को पैच कर दिया है, और "हम उपयोगकर्ताओं से यह सुनिश्चित करने का आग्रह कर रहे हैं कि वे ऐप्पल शॉर्टकट सॉफ़्टवेयर का नवीनतम संस्करण चला रहे हैं।"

Apple सुरक्षा कमजोरियाँ: और भी अधिक सामान्य

अक्तूबर में, एक्सेंचर प्रकाशित एक रिपोर्ट से पता चलता है कि 2019 के बाद से macOS को लक्षित करने वाले डार्क वेब खतरे वाले अभिनेताओं में दस गुना वृद्धि हुई है - यह प्रवृत्ति जारी रहने के लिए तैयार है।

निष्कर्ष के उद्भव के साथ मेल खाते हैं परिष्कृत macOS इन्फोस्टीलर्स Apple की अंतर्निहित पहचान को बायपास करने के लिए बनाया गया। और कास्परस्की शोधकर्ता हाल ही में पता चला macOS मैलवेयर बिटकॉइन और एक्सोडस क्रिप्टोवॉलेट को लक्षित करता है, जिसमें दुर्भावनापूर्ण सॉफ़्टवेयर वास्तविक ऐप्स को समझौता किए गए संस्करणों से प्रतिस्थापित करता है।

बग भी सामने आते रहते हैं, जिससे शुरुआती पहुंच आसान हो जाती है। उदाहरण के लिए, इस साल की शुरुआत में Apple ने अपने में शून्य-दिन की भेद्यता (CVE-2024-23222) तय की थी सफ़ारी ब्राउज़र का वेबकिट इंजन, एक प्रकार की भ्रम त्रुटि के कारण होता है, जहां इनपुट सत्यापन मान्यताओं का शोषण हो सकता है।

आम तौर पर खराब Apple परिणामों से बचने के लिए, रिपोर्ट उपयोगकर्ताओं को macOS, iPadOS और watchOS उपकरणों को नवीनतम संस्करणों में अपडेट करने, अविश्वसनीय स्रोतों से शॉर्टकट निष्पादित करते समय सावधानी बरतने और नियमित रूप से Apple से सुरक्षा अपडेट और पैच की जांच करने की दृढ़ता से सलाह देती है।

• एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
• प्लेटोडेटा.नेटवर्क वर्टिकल जेनरेटिव एआई। स्वयं को शक्तिवान बनाएं। यहां पहुंचें।
• प्लेटोआईस्ट्रीम। Web3 इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
• प्लेटोईएसजी. कार्बन, क्लीनटेक, ऊर्जा, पर्यावरण, सौर, कचरा प्रबंधन। यहां पहुंचें।
• प्लेटोहेल्थ। बायोटेक और क्लिनिकल परीक्षण इंटेलिजेंस। यहां पहुंचें।
• स्रोत: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft