Zero-Click Apple Shortcuts sårbarhet tillåter tyst datastöld

En farlig sårbarhet i Apple Shortcuts har dykt upp, vilket kan ge angripare tillgång till känslig data på hela enheten utan att användaren ombeds att ge behörigheter.

Apples genvägar, designad för macOS och iOS, syftar till att automatisera uppgifter. För företag tillåter det användare att skapa makron för att utföra specifika uppgifter på sina enheter och sedan kombinera dem till arbetsflöden för allt från webbautomation till smarta fabriksfunktioner. Dessa kan sedan delas online via iCloud och andra plattformar med medarbetare och partners.

I enlighet med en analys från Bitdefender I dag gör sårbarheten (CVE-2024-23204) det möjligt att skapa en skadlig genvägsfil som skulle kunna kringgå Apples säkerhetsramverk för transparens, samtycke och kontroll (TCC), som är tänkt att säkerställa att appar uttryckligen begär tillstånd från användaren innan han kommer åt vissa data eller funktioner.

Det betyder att när någon lägger till en skadlig genväg till sitt bibliotek, kan den tyst stjäla känslig data och systeminformation utan att behöva få användaren att ge åtkomstbehörighet. I sin proof-of-concept (PoC) exploatering kunde Bitdefender-forskare sedan exfiltrera data i en krypterad bildfil.

"Med genvägar som är en allmänt använd funktion för effektiv uppgiftshantering, väcker sårbarheten oro för oavsiktlig spridning av skadliga genvägar genom olika delningsplattformar," noterade rapporten.

Buggen är ett hot mot macOS- och iOS-enheter som kör versioner som föregår macOS Sonoma 14.3, iOS 17.3 och iPadOS 17.3, och den har betyget 7.5 av möjliga 10 (höga) på Common Vulnerability Scoring System (CVSS) eftersom det kan vara fjärrexploateras utan nödvändiga privilegier.

Apple har åtgärdat felet, och "vi uppmanar användare att se till att de kör den senaste versionen av Apple Shortcuts-programvaran", säger Bogdan Botezatu, chef för hotforskning och rapportering på Bitdefender.

Apples säkerhetssårbarheter: allt vanligare

I oktober, Accenture publicerad en rapport som avslöjar en tiofaldig ökning av Dark Web-hotaktörer som riktar sig mot macOS sedan 2019 — med trenden redo att fortsätta.

Fynden sammanfaller med uppkomsten av sofistikerade macOS infostealers skapad för att kringgå Apples inbyggda upptäckt. Och Kaspersky-forskare Nyligen upptäckt macOS skadlig kod riktad mot Bitcoin och Exodus kryptoplånböcker, där den skadliga programvaran ersätter äkta appar med komprometterade versioner.

Buggar fortsätter också att dyka upp, vilket gör den första åtkomsten lättare. Till exempel, tidigare i år fixade Apple en nolldagarssårbarhet (CVE-2024-23222) i sin Safari-webbläsarens WebKit-motor, orsakat av ett typförvirringsfel, där antaganden om indatavalidering kan leda till exploatering.

För att undvika dåliga Apple-resultat i allmänhet, rekommenderar rapporten starkt användare att uppdatera macOS, iPadOS och watchOS-enheter till de senaste versionerna, vara försiktig när du kör genvägar från opålitliga källor och regelbundet leta efter säkerhetsuppdateringar och patchar från Apple.

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft