צצה פגיעות מסוכנת בקיצורי דרך של אפל, שעלולה לתת לתוקפים גישה לנתונים רגישים במכשיר מבלי שהמשתמש יתבקש להעניק הרשאות.
אפליקציית קיצורי הדרך של אפל, המיועדת ל-macOS ו-iOS, מכוונת לאוטומציה של משימות. לעסקים, זה מאפשר למשתמשים ליצור פקודות מאקרו לביצוע משימות ספציפיות במכשירים שלהם, ולאחר מכן לשלב אותן לתוך זרימות עבודה לכל דבר, מאוטומציה אינטרנטית ועד פונקציות של מפעל חכם. לאחר מכן ניתן לשתף אותם באופן מקוון באמצעות iCloud ופלטפורמות אחרות עם עמיתים לעבודה ושותפים.
פי ניתוח של Bitdefender היום, הפגיעות (CVE-2024-23204) מאפשרת ליצור קובץ קיצורי דרך זדוני שיוכל לעקוף את מסגרת האבטחה השקיפות, ההסכמה והבקרה (TCC) של אפל, שאמורה להבטיח שאפליקציות יבקשו הרשאה מפורשות מהמשתמש לפני גישה לנתונים או פונקציות מסוימות.
פירוש הדבר שכאשר מישהו מוסיף קיצור דרך זדוני לספרייה שלו, הוא יכול לגנוב בשקט נתונים ומידע מערכות רגישים, ללא צורך לגרום למשתמש לתת הרשאת גישה. בניצול הוכחת המושג (PoC) שלהם, חוקרי Bitdefender הצליחו לסנן את הנתונים בקובץ תמונה מוצפן.
"כאשר קיצורי דרך הם תכונה בשימוש נרחב לניהול משימות יעיל, הפגיעות מעוררת חששות לגבי הפצה בשוגג של קיצורי דרך זדוניים באמצעות פלטפורמות שיתוף מגוונות", צוין בדו"ח.
הבאג מהווה איום על מכשירי macOS ו-iOS המריצים גרסאות שקדמו ל-macOS Sonoma 14.3, iOS 17.3 ו-iPadOS 17.3, והוא מדורג 7.5 מתוך 10 אפשרי (גבוה) במערכת ה-Common Vulnerability Scoring System (CVSS) מכיוון שהוא יכול להיות מנוצל מרחוק ללא הרשאות נדרשות.
אפל תיקנה את הבאג, ו"אנחנו קוראים למשתמשים לוודא שהם מריצים את הגרסה העדכנית ביותר של תוכנת קיצורי הדרך של אפל", אומר Bogdan Botezatu, מנהל מחקר ודיווח איומים ב-Bitdefender.
פרצות אבטחה של אפל: נפוצות מתמיד
בחודש אוקטובר, אקסנצ'ר פורסם דו"ח החושף עלייה של פי עשרה במספר שחקני איומי ה-Dark Web המתמקדים ב-macOS מאז 2019 - כשהמגמה צפויה להימשך.
הממצאים עולים בקנה אחד עם הופעתו של גנבי מידע מתוחכמים של macOS נוצר כדי לעקוף את הזיהוי המובנה של אפל. וחוקרי קספרסקי התגלה לאחרונה תוכנות זדוניות של macOS מתמקדות בארנקי קריפטו של Bitcoin ו-Exodus, כאשר התוכנה הזדונית מחליפה אפליקציות מקוריות בגרסאות שנפרצות.
באגים גם ממשיכים להתגלות, מה שמקל על הגישה הראשונית. לדוגמה, מוקדם יותר השנה אפל תיקנה פגיעות של יום אפס (CVE-2024-23222) מנוע ה-WebKit של דפדפן ספארי, הנגרמת על ידי שגיאת בלבול סוג, שבה הנחות אימות קלט יכולות להוביל לניצול.
כדי להימנע מתוצאות רעות של אפל באופן כללי, הדו"ח ממליץ בחום למשתמשים לעדכן את מכשירי macOS, iPadOS ו-watchOS לגרסאות העדכניות ביותר, לנקוט משנה זהירות בעת ביצוע קיצורי דרך ממקורות לא מהימנים, ולבדוק באופן קבוע אם יש עדכוני אבטחה ותיקונים מאפל.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- :יש ל
- :הוא
- :איפה
- 10
- 14
- 17
- 2019
- 7
- a
- יכול
- אודות
- גישה
- גישה
- לרוחב
- שחקנים
- מוסיף
- מכוון
- מאפשר
- גם
- an
- ו
- תפוח עץ
- בקשה
- אפליקציות
- ARE
- הנחות
- At
- אוטומציה
- אוטומציה
- לְהִמָנַע
- רע
- BE
- כי
- לפני
- להיות
- ביטקוין
- דפדפן
- חרק
- מובנה
- עסקים
- by
- לעקוף
- CAN
- גרם
- זהירות
- מסוים
- לבדוק
- לשלב
- איך
- Common
- התפשר
- דאגות
- בלבול
- הסכמה
- להמשיך
- לִשְׁלוֹט
- יכול
- לעצב
- לִיצוֹר
- נוצר
- מסוכן
- כהה
- אינטרנט אפל
- נתונים
- מעוצב
- איתור
- מכשיר
- התקנים
- מְנַהֵל
- שונה
- מוקדם יותר
- קל יותר
- יעיל
- הִתהַוּוּת
- מוצפן
- לְהַבטִיחַ
- שגיאה
- אי פעם
- הכל
- מבצע
- תרגיל
- סֵפֶר שֵׁמוֹת
- בִּמְפוּרָשׁ
- לנצל
- ניצול
- ומנוצל
- מאפיין
- שלח
- ממצאים
- קבוע
- בעד
- מסגרת
- החל מ-
- פונקציות
- פונקציות
- כללי
- אמיתי
- לקבל
- לתת
- להעניק
- יש
- גָבוֹהַ
- HTTPS
- תמונה
- in
- מידע
- בתחילה
- קלט
- למשל
- אל תוך
- iOS
- iPad
- IT
- שֶׁלָה
- jpg
- קספרסקי
- האחרון
- עוֹפֶרֶת
- סִפְרִיָה
- אוֹר
- MacOS
- פקודות מאקרו
- לעשות
- עושה
- עשייה
- זדוני
- תוכנות זדוניות
- ניהול
- אומר
- יותר
- לא
- ציין
- אוֹקְטוֹבֶּר
- of
- on
- באינטרנט
- or
- אחר
- הַחוּצָה
- תוצאות
- שותפים
- טלאים
- רשות
- הרשאות
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- PoC
- שָׁקוּל
- אפשרי
- קודם
- הרשאות
- מעלה
- מדורג
- באופן קבוע
- מרחוק
- לדווח
- דווח
- לבקש
- נדרש
- מחקר
- חוקרים
- חושף
- לעלות
- ריצה
- s
- אומר
- מניה
- אבטחה
- רגיש
- משותף
- שיתוף
- since
- תוכנה
- מישהו
- מקורות
- ספציפי
- ממומן
- בְּתוֹקֶף
- אמור
- בטוח
- מערכת
- מערכות
- מיקוד
- המשימות
- משימות
- זֶה
- השמיים
- גְנֵבָה
- שֶׁלָהֶם
- אותם
- אז
- אלה
- הֵם
- זֶה
- השנה
- איום
- איום שחקנים
- דרך
- ל
- היום
- שקיפות
- מְגַמָה
- סוג
- עדכון
- עדכונים
- דוחק
- מְשׁוּמָשׁ
- משתמש
- משתמשים
- אימות
- גרסה
- גירסאות
- פגיעויות
- פגיעות
- we
- אינטרנט
- ערכת רשת
- היו
- מתי
- אשר
- באופן נרחב
- עם
- לְלֹא
- זרימות עבודה
- היה
- שנה
- זפירנט