Vulnerabilitatea comenzilor rapide Apple Zero-Click permite furtul silențios de date

A apărut o vulnerabilitate periculoasă în Apple Shortcuts, care ar putea oferi atacatorilor acces la date sensibile de pe dispozitiv, fără ca utilizatorul să fie rugat să acorde permisiuni.

Aplicația Apple Shortcuts, concepută pentru macOS și iOS, are ca scop automatizarea sarcinilor. Pentru companii, permite utilizatorilor să creeze macrocomenzi pentru executarea unor sarcini specifice pe dispozitivele lor și apoi să le combine în fluxuri de lucru pentru orice, de la automatizarea web până la funcțiile smart-factory. Acestea pot fi apoi partajate online prin iCloud și alte platforme cu colegii și partenerii.

Potrivit unui analiză de la Bitdefender lansată astăzi, vulnerabilitatea (CVE-2024-23204) face posibilă crearea unui fișier de Comenzi rapide rău intenționate care ar putea ocoli cadrul de securitate Apple Transparency, Consent, and Control (TCC), care ar trebui să asigure că aplicațiile solicită în mod explicit permisiunea. de la utilizator înainte de a accesa anumite date sau funcționalități.

Aceasta înseamnă că, atunci când cineva adaugă o comandă rapidă rău intenționată în biblioteca sa, poate fura în tăcere date sensibile și informații despre sistem, fără a fi nevoit să solicite utilizatorului permisiunea de acces. În exploatarea lor proof-of-concept (PoC), cercetătorii Bitdefender au putut apoi să exfiltreze datele într-un fișier imagine criptat.

„Întrucât Comenzile rapide fiind o caracteristică utilizată pe scară largă pentru gestionarea eficientă a sarcinilor, vulnerabilitatea ridică îngrijorări cu privire la diseminarea involuntară a comenzilor rapide rău intenționate prin diverse platforme de partajare”, se arată în raport.

Bug-ul reprezintă o amenințare pentru dispozitivele macOS și iOS care rulează versiuni premergătoare macOS Sonoma 14.3, iOS 17.3 și iPadOS 17.3 și este evaluat cu 7.5 dintr-un posibil 10 (mai mare) pe Sistemul de scorare a vulnerabilităților comune (CVSS), deoarece poate fi exploatat de la distanță fără privilegii necesare.

Apple a corectat bug-ul și „îndemnăm utilizatorii să se asigure că rulează cea mai recentă versiune a software-ului Apple Shortcuts”, spune Bogdan Botezatu, director de cercetare și raportare a amenințărilor la Bitdefender.

Vulnerabilități de securitate Apple: tot mai frecvente

În octombrie, A publicat Accenture un raport care dezvăluie o creștere de zece ori a actorilor de amenințări Dark Web care vizează macOS din 2019 – tendința fiind gata să continue.

Constatările coincid cu apariția furatorii de informații macOS sofisticați creat pentru a ocoli detectarea încorporată a Apple. Și cercetătorii Kaspersky descoperit recent Programul malware macOS care vizează criptoportele Bitcoin și Exodus, software-ul rău intenționat înlocuind aplicațiile autentice cu versiuni compromise.

De asemenea, bug-urile continuă să iasă la iveală, facilitând accesul inițial. De exemplu, la începutul acestui an, Apple a remediat o vulnerabilitate zero-day (CVE-2024-23222) în Motorul WebKit al browserului Safari, cauzată de o eroare de confuzie de tip, unde ipotezele de validare a intrărilor pot duce la exploatare.

Pentru a evita rezultate proaste Apple în general, raportul recomandă insistent utilizatorilor să actualizeze dispozitivele macOS, iPadOS și watchOS la cele mai recente versiuni, să fie precauți atunci când execută comenzi rapide din surse nede încredere și să verifice în mod regulat actualizările și corecțiile de securitate de la Apple.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft