Zero-Click Apple Shortcut-kwetsbaarheid maakt stille gegevensdiefstal mogelijk

Er is een gevaarlijke kwetsbaarheid in Apple Shortcuts opgedoken, waardoor aanvallers toegang kunnen krijgen tot gevoelige gegevens op het hele apparaat zonder dat de gebruiker om toestemming wordt gevraagd.

Apple's Shortcuts-applicatie, ontworpen voor macOS en iOS, is gericht op het automatiseren van taken. Voor bedrijven kunnen gebruikers macro's maken voor het uitvoeren van specifieke taken op hun apparaten, en deze vervolgens combineren tot workflows voor alles, van webautomatisering tot smart-factory-functies. Deze kunnen vervolgens online via iCloud en andere platforms worden gedeeld met collega's en partners.

Volgens een analyse van Bitdefender De kwetsbaarheid (CVE-2024-23204) die vandaag beschikbaar is, maakt het mogelijk een kwaadaardig snelkoppelingsbestand te maken dat het Transparency, Consent, and Control (TCC)-beveiligingsframework van Apple zou kunnen omzeilen, dat ervoor moet zorgen dat apps expliciet om toestemming vragen van de gebruiker voordat toegang wordt verkregen tot bepaalde gegevens of functionaliteiten.

Dat betekent dat wanneer iemand een kwaadaardige snelkoppeling aan zijn bibliotheek toevoegt, deze in stilte gevoelige gegevens en systeeminformatie kan stelen, zonder dat de gebruiker daarvoor toestemming hoeft te geven. In hun proof-of-concept (PoC)-exploit konden Bitdefender-onderzoekers vervolgens de gegevens in een gecodeerd afbeeldingsbestand exfiltreren.

“Aangezien Shortcuts een veelgebruikte functie zijn voor efficiënt taakbeheer, roept de kwetsbaarheid zorgen op over de onbedoelde verspreiding van kwaadaardige snelkoppelingen via diverse deelplatforms”, aldus het rapport.

De bug vormt een bedreiging voor macOS- en iOS-apparaten met versies die voorafgaan aan macOS Sonoma 14.3, iOS 17.3 en iPadOS 17.3, en wordt beoordeeld met een 7.5 uit een mogelijke 10 (hoog) op het Common Vulnerability Scoring System (CVSS), omdat deze mogelijk op afstand geëxploiteerd zonder vereiste rechten.

Apple heeft de bug gepatcht en “we dringen er bij gebruikers op aan ervoor te zorgen dat ze de nieuwste versie van de Apple Shortcuts-software gebruiken”, zegt Bogdan Botezatu, directeur bedreigingsonderzoek en rapportage bij Bitdefender.

Beveiligingsproblemen in Apple: steeds vaker voorkomend

In oktober, Accenture gepubliceerd een rapport waaruit blijkt dat er sinds 2019 sprake is van een vertienvoudiging van het aantal Dark Web-bedreigingsactoren die zich op macOS richten – en deze trend zal zich waarschijnlijk voortzetten.

De bevindingen vallen samen met de opkomst van geavanceerde macOS-infostealers gemaakt om de ingebouwde detectie van Apple te omzeilen. En Kaspersky-onderzoekers Recent ontdekt macOS-malware richt zich op Bitcoin- en Exodus-cryptowallets, waarbij de kwaadaardige software echte apps vervangt door gecompromitteerde versies.

Bugs blijven ook aan het licht komen, waardoor de eerste toegang eenvoudiger wordt. Zo heeft Apple eerder dit jaar een zero-day-kwetsbaarheid (CVE-2024-23222) opgelost in zijn De WebKit-engine van Safari-browser, veroorzaakt door een typeverwarringsfout, waarbij aannames bij invoervalidatie tot misbruik kunnen leiden.

Om slechte Apple-resultaten in het algemeen te voorkomen, raadt het rapport gebruikers ten zeerste aan om macOS-, iPadOS- en watchOS-apparaten bij te werken naar de nieuwste versies, voorzichtig te zijn bij het uitvoeren van snelkoppelingen van onbetrouwbare bronnen en regelmatig te controleren op beveiligingsupdates en patches van Apple.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft