Null-klikk Apple-snarveier-sårbarhet tillater stille datatyveri

En farlig sårbarhet i Apple Shortcuts har dukket opp, som kan gi angripere tilgang til sensitive data på tvers av enheten uten at brukeren blir bedt om å gi tillatelser.

Apples snarveier-applikasjon, designet for macOS og iOS, er rettet mot å automatisere oppgaver. For bedrifter lar det brukere lage makroer for å utføre spesifikke oppgaver på enhetene deres, og deretter kombinere dem til arbeidsflyter for alt fra webautomatisering til smartfabrikkfunksjoner. Disse kan deretter deles online via iCloud og andre plattformer med kolleger og partnere.

I henhold til en analyse fra Bitdefender I dag gjør sårbarheten (CVE-2024-23204) det mulig å lage en ondsinnet snarveisfil som vil kunne omgå Apples sikkerhetsrammeverk for åpenhet, samtykke og kontroll (TCC), som skal sikre at apper eksplisitt ber om tillatelse fra brukeren før han får tilgang til visse data eller funksjoner.

Det betyr at når noen legger til en ondsinnet snarvei til biblioteket sitt, kan den i stillhet stjele sensitiv data og systeminformasjon, uten å måtte få brukeren til å gi tilgangstillatelse. I deres proof-of-concept (PoC)-utnyttelse kunne Bitdefender-forskere deretter eksfiltrere dataene i en kryptert bildefil.

"Da snarveier er en mye brukt funksjon for effektiv oppgavehåndtering, vekker sårbarheten bekymringer om utilsiktet spredning av ondsinnede snarveier gjennom forskjellige delingsplattformer," bemerket rapporten.

Feilen er en trussel mot macOS- og iOS-enheter som kjører versjoner før macOS Sonoma 14.3, iOS 17.3 og iPadOS 17.3, og den er vurdert til 7.5 av mulige 10 (høy) på Common Vulnerability Scoring System (CVSS) fordi den kan være eksternt utnyttet uten nødvendige privilegier.

Apple har rettet feilen, og "vi oppfordrer brukere til å sørge for at de kjører den nyeste versjonen av Apple Shortcuts-programvaren," sier Bogdan Botezatu, direktør for trusselforskning og rapportering i Bitdefender.

Apples sikkerhetssårbarheter: Stadig mer vanlig

I oktober, Accenture publisert en rapport som avslører en tidoblet økning i Dark Web-trusselaktører rettet mot macOS siden 2019 – med trenden klar til å fortsette.

Funnene sammenfaller med fremveksten av sofistikerte macOS infostelere opprettet for å omgå Apples innebygde deteksjon. Og Kaspersky-forskere Nylig oppdaget macOS malware rettet mot Bitcoin og Exodus kryptowallets, med den ondsinnede programvaren som erstatter ekte apper med kompromitterte versjoner.

Bugs fortsetter også å komme frem, noe som gjør den første tilgangen enklere. Tidligere i år fikset Apple for eksempel en null-dagers sårbarhet (CVE-2024-23222) i sin Safari-nettleserens WebKit-motor, forårsaket av en typeforvirringsfeil, der inndatavalideringsantakelser kan føre til utnyttelse.

For å unngå dårlige Apple-resultater generelt, anbefaler rapporten brukere på det sterkeste å oppdatere macOS-, iPadOS- og watchOS-enheter til de nyeste versjonene, utvise forsiktighet når du kjører snarveier fra ikke-klarerte kilder, og regelmessig se etter sikkerhetsoppdateringer og patcher fra Apple.

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• PlatoHelse. Bioteknologisk og klinisk etterretning. Tilgang her.
• kilde: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft