Уязвимость ярлыков Apple с нулевым щелчком мыши делает возможным бесшумную кражу данных

Обнаружена опасная уязвимость в Apple Shortcuts, которая может предоставить злоумышленникам доступ к конфиденциальным данным на устройстве без запроса на предоставление разрешений пользователю.

Приложение Apple Shortcuts, разработанное для macOS и iOS, предназначено для автоматизации задач. Для предприятий это позволяет пользователям создавать макросы для выполнения определенных задач на своих устройствах, а затем объединять их в рабочие процессы для всего: от веб-автоматизации до функций умного производства. Затем ими можно будет поделиться онлайн через iCloud и другие платформы с коллегами и партнерами.

В соответствии с анализ от Bitdefender Выпущенная сегодня уязвимость (CVE-2024-23204) позволяет создать вредоносный файл ярлыков, который сможет обойти систему безопасности Apple «Прозрачность, согласие и контроль» (TCC), которая должна гарантировать, что приложения явно запрашивают разрешение. от пользователя перед доступом к определенным данным или функциям.

Это означает, что когда кто-то добавляет вредоносный ярлык в свою библиотеку, он может незаметно похитить конфиденциальные данные и системную информацию, не требуя от пользователя предоставления разрешения на доступ. В ходе проверки концепции (PoC) исследователи Bitdefender смогли извлечь данные из зашифрованного файла изображения.

«Поскольку ярлыки являются широко используемой функцией для эффективного управления задачами, эта уязвимость вызывает опасения по поводу непреднамеренного распространения вредоносных ярлыков через различные платформы обмена», — отмечается в отчете.

Эта ошибка представляет угрозу для устройств macOS и iOS, работающих под управлением версий, предшествующих macOS Sonoma 14.3, iOS 17.3 и iPadOS 17.3, и ей присвоен рейтинг 7.5 из 10 возможных (высокий) в Общей системе оценки уязвимостей (CVSS), поскольку она может быть используется удаленно без каких-либо необходимых привилегий.

Apple исправила ошибку, и «мы призываем пользователей убедиться, что они используют последнюю версию программного обеспечения Apple Shortcuts», — говорит Богдан Ботезату, директор по исследованию угроз и отчетности Bitdefender.

Уязвимости безопасности Apple: все чаще

В октябре Компания Accenture опубликовала отчет, показывающий десятикратное увеличение числа злоумышленников из даркнета, нацеленных на macOS, с 2019 года — и эта тенденция будет продолжаться.

Результаты совпадают с появлением изощренные воры информации macOS создан для обхода встроенной системы обнаружения Apple. И исследователи Касперского Недавно обнаруженный Вредоносное ПО для macOS, нацеленное на криптокошельки Bitcoin и Exodus, причем вредоносное программное обеспечение заменяет подлинные приложения скомпрометированными версиями.

Ошибки также продолжают выявляться, что упрощает первоначальный доступ. Например, ранее в этом году Apple устранила уязвимость нулевого дня (CVE-2024-23222) в своем Движок WebKit браузера Safari, вызванная ошибкой путаницы типов, когда предположения о проверке входных данных могут привести к злоупотреблению.

Чтобы избежать плохих результатов Apple в целом, в отчете настоятельно рекомендуется пользователям обновлять устройства macOS, iPadOS и watchOS до последних версий, проявлять осторожность при использовании ярлыков из ненадежных источников и регулярно проверять наличие обновлений безопасности и исправлений от Apple.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• PlatoData.Network Вертикальный генеративный ИИ. Расширьте возможности себя. Доступ здесь.
• ПлатонАйСтрим. Интеллект Web3. Расширение знаний. Доступ здесь.
• ПлатонЭСГ. Углерод, чистые технологии, Энергия, Окружающая среда, Солнечная, Управление отходами. Доступ здесь.
• ПлатонЗдоровье. Биотехнологии и клинические исследования. Доступ здесь.
• Источник: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft