ช่องโหว่ทางลัดของ Apple แบบ Zero-Click ทำให้เกิดการขโมยข้อมูลแบบเงียบๆ

พบช่องโหว่ที่เป็นอันตรายในคำสั่งลัดของ Apple ซึ่งอาจทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลที่ละเอียดอ่อนทั่วทั้งอุปกรณ์โดยที่ผู้ใช้ไม่ต้องขออนุญาต

แอปพลิเคชันทางลัดของ Apple ที่ออกแบบมาสำหรับ macOS และ iOS มีวัตถุประสงค์เพื่อทำให้งานเป็นแบบอัตโนมัติ สำหรับธุรกิจ จะอนุญาตให้ผู้ใช้สร้างมาโครเพื่อดำเนินงานเฉพาะบนอุปกรณ์ของตน จากนั้นรวมเข้ากับเวิร์กโฟลว์สำหรับทุกสิ่งตั้งแต่ระบบอัตโนมัติบนเว็บไปจนถึงฟังก์ชันโรงงานอัจฉริยะ จากนั้นจะสามารถแชร์ข้อมูลเหล่านี้ทางออนไลน์ผ่าน iCloud และแพลตฟอร์มอื่นๆ กับเพื่อนร่วมงานและพันธมิตรได้

ตามที่ การวิเคราะห์จาก Bitdefender ในปัจจุบัน ช่องโหว่ (CVE-2024-23204) ทำให้สามารถสร้างไฟล์ทางลัดที่เป็นอันตราย ซึ่งสามารถข้ามเฟรมเวิร์กความปลอดภัยของความโปร่งใส ความยินยอม และการควบคุม (TCC) ของ Apple ซึ่งควรจะทำให้แน่ใจว่าแอปร้องขอการอนุญาตอย่างชัดเจน จากผู้ใช้ก่อนที่จะเข้าถึงข้อมูลหรือฟังก์ชันบางอย่าง

นั่นหมายความว่าเมื่อมีคนเพิ่มทางลัดที่เป็นอันตรายลงในไลบรารีของตน ทางลัดนั้นสามารถขโมยข้อมูลที่ละเอียดอ่อนและข้อมูลระบบโดยไม่ต้องให้ผู้ใช้ให้สิทธิ์ในการเข้าถึง ในการใช้ประโยชน์จาก Proof-of-Concept (PoC) นักวิจัยของ Bitdefender ก็สามารถขโมยข้อมูลในไฟล์ภาพที่เข้ารหัสได้

“เนื่องจากทางลัดเป็นคุณสมบัติที่ใช้กันอย่างแพร่หลายสำหรับการจัดการงานที่มีประสิทธิภาพ ช่องโหว่ทำให้เกิดความกังวลเกี่ยวกับการเผยแพร่ทางลัดที่เป็นอันตรายโดยไม่ได้ตั้งใจผ่านแพลตฟอร์มการแบ่งปันที่หลากหลาย” รายงานระบุ

จุดบกพร่องนี้เป็นภัยคุกคามต่ออุปกรณ์ macOS และ iOS ที่ใช้งานเวอร์ชันก่อนหน้า macOS Sonoma 14.3, iOS 17.3 และ iPadOS 17.3 และได้รับการจัดอันดับ 7.5 จากคะแนนเต็ม 10 ที่เป็นไปได้ (สูง) บน Common Vulnerability Scoring System (CVSS) เนื่องจากสามารถ ใช้ประโยชน์จากระยะไกลโดยไม่มีสิทธิ์ที่จำเป็น

Apple ได้แก้ไขข้อบกพร่องแล้ว และ "เราขอแนะนำให้ผู้ใช้ตรวจสอบให้แน่ใจว่าพวกเขากำลังใช้งานซอฟต์แวร์ Apple Shortcuts เวอร์ชันล่าสุด" Bogdan Botezatu ผู้อำนวยการฝ่ายวิจัยภัยคุกคามและการรายงานของ Bitdefender กล่าว

ช่องโหว่ด้านความปลอดภัยของ Apple: พบบ่อยมากขึ้น

ในเดือนตุลาคม เผยแพร่แอคเซนเจอร์แล้ว รายงานเผยให้เห็นผู้คุกคาม Dark Web ที่กำหนดเป้าหมายไปที่ macOS เพิ่มขึ้นสิบเท่าตั้งแต่ปี 2019 โดยมีแนวโน้มว่าจะดำเนินต่อไป

การค้นพบนี้เกิดขึ้นพร้อมกับการเกิดขึ้นของ ผู้ขโมยข้อมูล macOS ที่ซับซ้อน สร้างขึ้นเพื่อหลีกเลี่ยงการตรวจจับในตัวของ Apple และนักวิจัยของแคสเปอร์สกี้ เพิ่งค้นพบ มัลแวร์ macOS กำหนดเป้าหมายกระเป๋าสตางค์ Bitcoin และ Exodus โดยซอฟต์แวร์ที่เป็นอันตรายจะแทนที่แอปของแท้ด้วยเวอร์ชันที่ถูกบุกรุก

จุดบกพร่องยังคงปรากฏให้เห็นอย่างต่อเนื่อง ทำให้เข้าถึงได้ง่ายขึ้น ตัวอย่างเช่น เมื่อต้นปีนี้ Apple ได้แก้ไขช่องโหว่แบบ Zero-day (CVE-2024-23222) ใน เอ็นจิ้น WebKit ของเบราว์เซอร์ Safariเกิดจากข้อผิดพลาดเกี่ยวกับความสับสนประเภท ซึ่งสมมติฐานในการตรวจสอบอินพุตอาจนำไปสู่การใช้ประโยชน์

เพื่อหลีกเลี่ยงผลลัพธ์ที่ไม่ดีของ Apple โดยทั่วไป รายงานแนะนำอย่างยิ่งให้ผู้ใช้อัปเดตอุปกรณ์ macOS, iPadOS และ watchOS เป็นเวอร์ชันล่าสุด ใช้ความระมัดระวังเมื่อเรียกใช้คำสั่งลัดจากแหล่งที่ไม่น่าเชื่อถือ และตรวจสอบการอัปเดตและแพตช์ด้านความปลอดภัยจาก Apple เป็นประจำ

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft