Luka w zabezpieczeniach skrótów Apple umożliwiająca zerowe kliknięcie umożliwia cichą kradzież danych

Wykryto niebezpieczną lukę w Apple Shortcuts, która może zapewnić atakującym dostęp do wrażliwych danych na urządzeniu bez konieczności proszenia użytkownika o przyznanie uprawnień.

Aplikacja Apple Shortcuts, przeznaczona dla systemów macOS i iOS, ma na celu automatyzację zadań. W przypadku firm umożliwia użytkownikom tworzenie makr do wykonywania określonych zadań na swoich urządzeniach, a następnie łączenie ich w przepływy pracy do wszystkiego, od automatyzacji sieci po funkcje inteligentnej fabryki. Można je następnie udostępniać współpracownikom i partnerom online za pośrednictwem iCloud i innych platform.

Zgodnie z jednym z analiza z Bitdefender udostępniona dzisiaj luka (CVE-2024-23204) umożliwia utworzenie złośliwego pliku skrótów, który byłby w stanie ominąć platformę zabezpieczeń TCC (Transparency, Consent, and Control) firmy Apple, która ma zapewniać, że aplikacje jawnie proszą o pozwolenie od użytkownika przed uzyskaniem dostępu do określonych danych lub funkcjonalności.

Oznacza to, że gdy ktoś doda złośliwy skrót do swojej biblioteki, może on po cichu wykraść poufne dane i informacje o systemie, bez konieczności proszenia użytkownika o udzielenie pozwolenia na dostęp. W ramach exploita sprawdzającego koncepcję (PoC) badacze Bitdefender byli w stanie wyodrębnić dane z zaszyfrowanego pliku obrazu.

„Ponieważ Skróty są powszechnie stosowaną funkcją umożliwiającą efektywne zarządzanie zadaniami, luka ta budzi obawy związane z niezamierzonym rozpowszechnianiem złośliwych skrótów za pośrednictwem różnych platform udostępniania” – zauważono w raporcie.

Błąd stanowi zagrożenie dla urządzeń z systemem macOS i iOS z wersjami poprzedzającymi macOS Sonoma 14.3, iOS 17.3 i iPadOS 17.3 i uzyskał ocenę 7.5 na 10 (wysoką) w systemie Common Vulnerability Scoring System (CVSS), ponieważ może zostać zdalnie wykorzystywane bez wymaganych uprawnień.

Firma Apple załatała błąd i „namawiamy użytkowników, aby upewnili się, że korzystają z najnowszej wersji oprogramowania Apple Shortcuts” – mówi Bogdan Botezatu, dyrektor ds. badań zagrożeń i raportowania w Bitdefender.

Luki w zabezpieczeniach Apple: coraz częstsze

W październiku, Accent opublikował raport ujawniający dziesięciokrotny wzrost liczby ugrupowań zagrażających Dark Web atakujących macOS od 2019 r. – przy czym tendencja ta prawdopodobnie się utrzyma.

Odkrycia zbiegają się z pojawieniem się wyrafinowane złodzieje informacji o systemie macOS stworzony, aby ominąć wbudowane wykrywanie Apple. I badacze z Kaspersky niedawno odkryte Złośliwe oprogramowanie dla systemu macOS atakuje kryptowaluty Bitcoin i Exodus, przy czym złośliwe oprogramowanie zastępuje oryginalne aplikacje zainfekowanymi wersjami.

Błędy również wciąż wychodzą na światło dzienne, co ułatwia początkowy dostęp. Na przykład na początku tego roku firma Apple naprawiła lukę dnia zerowego (CVE-2024-23222) w swoim Silnik WebKit przeglądarki Safari, spowodowane błędem pomylenia typów, w przypadku którego założenia dotyczące sprawdzania poprawności danych wejściowych mogą prowadzić do wykorzystania.

Aby ogólnie uniknąć złych skutków dla Apple, w raporcie zdecydowanie zaleca się użytkownikom aktualizację urządzeń macOS, iPadOS i watchOS do najnowszych wersji, zachowanie ostrożności podczas wykonywania skrótów z niezaufanych źródeł oraz regularne sprawdzanie dostępności aktualizacji zabezpieczeń i poprawek firmy Apple.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Platon Zdrowie. Inteligencja w zakresie biotechnologii i badań klinicznych. Dostęp tutaj.
• Źródło: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft