Kerentanan Pintasan Apple Zero-Click Memungkinkan Pencurian Data Secara Diam-diam

Kerentanan berbahaya di Pintasan Apple telah muncul, yang dapat memberikan penyerang akses ke data sensitif di seluruh perangkat tanpa pengguna diminta untuk memberikan izin.

Aplikasi Pintasan Apple, dirancang untuk macOS dan iOS, ditujukan untuk mengotomatisasi tugas. Untuk bisnis, ini memungkinkan pengguna membuat makro untuk menjalankan tugas tertentu di perangkat mereka, dan kemudian menggabungkannya ke dalam alur kerja untuk segala hal mulai dari otomatisasi Web hingga fungsi pabrik pintar. Ini kemudian dapat dibagikan secara online melalui iCloud dan platform lainnya dengan rekan kerja dan mitra.

Menurut analisis dari Bitdefender yang dirilis hari ini, kerentanan (CVE-2024-23204) memungkinkan pembuatan file Pintasan berbahaya yang dapat melewati kerangka keamanan Transparansi, Persetujuan, dan Kontrol (TCC) Apple, yang seharusnya memastikan bahwa aplikasi secara eksplisit meminta izin dari pengguna sebelum mengakses data atau fungsi tertentu.

Artinya, ketika seseorang menambahkan pintasan berbahaya ke perpustakaannya, ia dapat mencuri data sensitif dan informasi sistem secara diam-diam, tanpa harus meminta izin akses dari pengguna. Dalam eksploitasi proof-of-concept (PoC) mereka, peneliti Bitdefender kemudian dapat mengekstraksi data dalam file gambar terenkripsi.

“Dengan Pintasan yang menjadi fitur yang banyak digunakan untuk manajemen tugas yang efisien, kerentanan ini menimbulkan kekhawatiran tentang penyebaran pintasan berbahaya yang tidak disengaja melalui beragam platform berbagi,” kata laporan tersebut.

Bug ini merupakan ancaman terhadap perangkat macOS dan iOS yang menjalankan versi sebelum macOS Sonoma 14.3, iOS 17.3, dan iPadOS 17.3, dan diberi peringkat 7.5 dari kemungkinan 10 (tinggi) pada Sistem Penilaian Kerentanan Umum (CVSS) karena dapat dieksploitasi dari jarak jauh tanpa hak istimewa yang diperlukan.

Apple telah menambal bug tersebut, dan “kami mendesak pengguna untuk memastikan mereka menjalankan perangkat lunak Apple Shortcuts versi terbaru,” kata Bogdan Botezatu, direktur penelitian dan pelaporan ancaman di Bitdefender.

Kerentanan Keamanan Apple: Semakin Umum

Pada bulan Oktober, Accenture diterbitkan sebuah laporan mengungkapkan peningkatan sepuluh kali lipat pelaku ancaman Web Gelap yang menargetkan macOS sejak tahun 2019 — dan tren ini diperkirakan akan terus berlanjut.

Temuan ini bertepatan dengan munculnya pencuri informasi macOS yang canggih dibuat untuk melewati deteksi bawaan Apple. Dan peneliti Kaspersky Baru ditemukan malware macOS menargetkan dompet kripto Bitcoin dan Exodus, dengan perangkat lunak berbahaya menggantikan aplikasi asli dengan versi yang telah disusupi.

Bug juga terus terungkap, membuat akses awal menjadi lebih mudah. Misalnya, awal tahun ini Apple memperbaiki kerentanan zero-day (CVE-2024-23222) di perangkatnya. Mesin WebKit browser Safari, disebabkan oleh kesalahan kebingungan tipe, yang mana asumsi validasi input dapat menyebabkan eksploitasi.

Untuk menghindari hasil buruk Apple secara umum, laporan tersebut sangat menyarankan pengguna untuk memperbarui perangkat macOS, iPadOS, dan watchOS ke versi terbaru, berhati-hati saat menjalankan pintasan dari sumber yang tidak tepercaya, dan secara rutin memeriksa pembaruan dan patch keamanan dari Apple.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoData.Jaringan Vertikal Generatif Ai. Berdayakan Diri Anda. Akses Di Sini.
• PlatoAiStream. Intelijen Web3. Pengetahuan Diperkuat. Akses Di Sini.
• PlatoESG. Karbon, teknologi bersih, energi, Lingkungan Hidup, Tenaga surya, Penanganan limbah. Akses Di Sini.
• PlatoHealth. Kecerdasan Uji Coba Biotek dan Klinis. Akses Di Sini.
• Sumber: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft