אפס קליקים של Apple Shortcuts פגיעות מאפשרת גניבת נתונים שקטה

הועלה מחדש על ידי אפלטון

עוקב: 0

אפס קליקים של Apple Shortcuts פגיעות מאפשרת גניבת נתונים שקטה של PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

צצה פגיעות מסוכנת בקיצורי דרך של אפל, שעלולה לתת לתוקפים גישה לנתונים רגישים במכשיר מבלי שהמשתמש יתבקש להעניק הרשאות.

אפליקציית קיצורי הדרך של אפל, המיועדת ל-macOS ו-iOS, מכוונת לאוטומציה של משימות. לעסקים, זה מאפשר למשתמשים ליצור פקודות מאקרו לביצוע משימות ספציפיות במכשירים שלהם, ולאחר מכן לשלב אותן לתוך זרימות עבודה לכל דבר, מאוטומציה אינטרנטית ועד פונקציות של מפעל חכם. לאחר מכן ניתן לשתף אותם באופן מקוון באמצעות iCloud ופלטפורמות אחרות עם עמיתים לעבודה ושותפים.

פי ניתוח של Bitdefender היום, הפגיעות (CVE-2024-23204) מאפשרת ליצור קובץ קיצורי דרך זדוני שיוכל לעקוף את מסגרת האבטחה השקיפות, ההסכמה והבקרה (TCC) של אפל, שאמורה להבטיח שאפליקציות יבקשו הרשאה מפורשות מהמשתמש לפני גישה לנתונים או פונקציות מסוימות.

פירוש הדבר שכאשר מישהו מוסיף קיצור דרך זדוני לספרייה שלו, הוא יכול לגנוב בשקט נתונים ומידע מערכות רגישים, ללא צורך לגרום למשתמש לתת הרשאת גישה. בניצול הוכחת המושג (PoC) שלהם, חוקרי Bitdefender הצליחו לסנן את הנתונים בקובץ תמונה מוצפן.

"כאשר קיצורי דרך הם תכונה בשימוש נרחב לניהול משימות יעיל, הפגיעות מעוררת חששות לגבי הפצה בשוגג של קיצורי דרך זדוניים באמצעות פלטפורמות שיתוף מגוונות", צוין בדו"ח.

הבאג מהווה איום על מכשירי macOS ו-iOS המריצים גרסאות שקדמו ל-macOS Sonoma 14.3, iOS 17.3 ו-iPadOS 17.3, והוא מדורג 7.5 מתוך 10 אפשרי (גבוה) במערכת ה-Common Vulnerability Scoring System (CVSS) מכיוון שהוא יכול להיות מנוצל מרחוק ללא הרשאות נדרשות.

אפל תיקנה את הבאג, ו"אנחנו קוראים למשתמשים לוודא שהם מריצים את הגרסה העדכנית ביותר של תוכנת קיצורי הדרך של אפל", אומר Bogdan Botezatu, מנהל מחקר ודיווח איומים ב-Bitdefender.

פרצות אבטחה של אפל: נפוצות מתמיד

בחודש אוקטובר, אקסנצ'ר פורסם דו"ח החושף עלייה של פי עשרה במספר שחקני איומי ה-Dark Web המתמקדים ב-macOS מאז 2019 - כשהמגמה צפויה להימשך.

הממצאים עולים בקנה אחד עם הופעתו של גנבי מידע מתוחכמים של macOS נוצר כדי לעקוף את הזיהוי המובנה של אפל. וחוקרי קספרסקי התגלה לאחרונה תוכנות זדוניות של macOS מתמקדות בארנקי קריפטו של Bitcoin ו-Exodus, כאשר התוכנה הזדונית מחליפה אפליקציות מקוריות בגרסאות שנפרצות.

באגים גם ממשיכים להתגלות, מה שמקל על הגישה הראשונית. לדוגמה, מוקדם יותר השנה אפל תיקנה פגיעות של יום אפס (CVE-2024-23222) מנוע ה-WebKit של דפדפן ספארי, הנגרמת על ידי שגיאת בלבול סוג, שבה הנחות אימות קלט יכולות להוביל לניצול.

כדי להימנע מתוצאות רעות של אפל באופן כללי, הדו"ח ממליץ בחום למשתמשים לעדכן את מכשירי macOS, iPadOS ו-watchOS לגרסאות העדכניות ביותר, לנקוט משנה זהירות בעת ביצוע קיצורי דרך ממקורות לא מהימנים, ולבדוק באופן קבוע אם יש עדכוני אבטחה ותיקונים מאפל.