제로 클릭 Apple 바로가기 취약점으로 인해 자동 데이터 도난이 허용됨

제로 클릭 Apple 바로가기 취약점으로 인해 자동 데이터 도난이 허용됨

타임 스탬프 : 22 년 2024 월 3 일 오후 39:XNUMX
제로 클릭 Apple 바로가기 취약점으로 인해 자동 데이터 도난이 가능합니다. PlatoBlockchain Data Intelligence. 수직 검색. 일체 포함.

Apple 바로가기의 위험한 취약점이 드러났습니다. 이 취약점으로 인해 공격자는 사용자에게 권한 부여를 요청하지 않고도 기기 전체의 민감한 데이터에 접근할 수 있습니다.

macOS 및 iOS용으로 설계된 Apple의 바로가기 애플리케이션은 작업 자동화를 목표로 합니다. 기업의 경우 사용자가 장치에서 특정 작업을 실행하기 위한 매크로를 만든 다음 웹 자동화에서 스마트 팩토리 기능에 이르기까지 모든 작업 흐름에 이를 결합할 수 있습니다. 그런 다음 iCloud 및 기타 플랫폼을 통해 동료 및 파트너와 온라인으로 공유할 수 있습니다.

에 따라 Bitdefender의 분석 현재 취약점(CVE-2024-23204)으로 인해 Apple의 TCC(투명성, 동의 및 제어) 보안 프레임워크를 우회할 수 있는 악성 바로가기 파일을 제작할 수 있습니다. 이는 앱이 명시적으로 권한을 요청하도록 보장합니다. 특정 데이터나 기능에 접근하기 전에 사용자로부터

즉, 누군가 라이브러리에 악성 바로가기를 추가하면 사용자에게 액세스 권한을 부여하지 않고도 민감한 데이터와 시스템 정보를 조용히 훔칠 수 있습니다. Bitdefender 연구원들은 PoC(개념 증명) 공격을 통해 암호화된 이미지 파일의 데이터를 유출할 수 있었습니다.

보고서는 “바로가기가 효율적인 작업 관리를 위해 널리 사용되는 기능인 만큼, 이 취약점은 다양한 공유 플랫폼을 통해 악의적인 바로가기가 무심코 유포될 수 있다는 우려를 불러일으킨다”고 지적했습니다.

이 버그는 macOS Sonoma 14.3, iOS 17.3 및 iPadOS 17.3 이전 버전을 실행하는 macOS 및 iOS 장치에 대한 위협이며 CVSS(Common Vulnerability Scoring System)에서 7.5점 만점에 10점을 받았습니다. 필요한 권한 없이 원격으로 악용됩니다.

Apple은 이 버그를 패치했으며 "우리는 사용자에게 최신 버전의 Apple Shortcuts 소프트웨어를 실행하고 있는지 확인하도록 촉구하고 있습니다"라고 Bitdefender의 위협 연구 및 보고 책임자인 Bogdan Botezatu는 말했습니다.

Apple 보안 취약점: 점점 더 흔해지고 있습니다

10 월에, 액센츄어 출판 2019년 이후 macOS를 표적으로 삼는 다크 웹 위협 행위자가 XNUMX배 증가했으며 이러한 추세는 계속될 것으로 예상되는 보고서입니다.

발견은 의 출현과 일치합니다. 정교한 macOS 인포스틸러 Apple의 내장 탐지를 우회하기 위해 만들어졌습니다. 카스퍼스키 연구원들 최근에 발견 된 정품 앱을 손상된 버전으로 대체하는 악성 소프트웨어를 사용하여 비트코인 ​​및 Exodus 암호화폐 지갑을 표적으로 삼는 macOS 악성 코드입니다.

버그도 계속해서 밝혀져 초기 접근이 더 쉬워졌습니다. 예를 들어, 올해 초 Apple은 제로데이 취약점(CVE-2024-23222)을 수정했습니다. Safari 브라우저의 WebKit 엔진, 입력 유효성 검사 가정이 악용으로 이어질 수 있는 유형 혼동 오류로 인해 발생합니다.

일반적으로 Apple의 나쁜 결과를 방지하기 위해 보고서는 사용자에게 macOS, iPadOS 및 watchOS 장치를 최신 버전으로 업데이트하고, 신뢰할 수 없는 소스에서 바로가기를 실행할 때 주의를 기울이고, Apple의 보안 업데이트 및 패치를 정기적으로 확인할 것을 강력히 권고합니다.

타임 스탬프 :

더보기 어두운 독서