A dangerous vulnerability in Apple Shortcuts has surfaced, which could give attackers access to sensitive data across the device without the user being asked to grant permissions.
Apple’s Shortcuts application, designed for macOS and iOS, is aimed at automating tasks. For businesses, it allows users to create macros for executing specific tasks on their devices, and then combine them into workflows for everything from Web automation to smart-factory functions. These can then be shared online through iCloud and other platforms with co-workers and partners.
Відповідно до analysis from Bitdefender out today, the vulnerability (CVE-2024-23204) makes it possible to craft a malicious Shortcuts file that would be able to bypass Apple’s Transparency, Consent, and Control (TCC) security framework, which is supposed to ensure that apps explicitly request permission from the user before accessing certain data or functionalities.
That means that when someone adds a malicious shortcut to their library, it can silently pilfer sensitive data and systems information, without having to get the user to give access permission. In their proof-of-concept (PoC) exploit, Bitdefender researchers were then able to exfiltrate the data in an encrypted image file.
“With Shortcuts being a widely used feature for efficient task management, the vulnerability raises concerns about the inadvertent dissemination of malicious shortcuts through diverse sharing platforms,” the report noted.
The bug is a threat to macOS and iOS devices running versions preceding macOS Sonoma 14.3, iOS 17.3, and iPadOS 17.3, and it is rated 7.5 out of a possible 10 (high) on the Common Vulnerability Scoring System (CVSS) because it can be remotely exploited with no required privileges.
Apple has patched the bug, and “we are urging users to make sure they are running the latest version of the Apple Shortcuts software,” says Bogdan Botezatu, director of threat research and reporting at Bitdefender.
Apple Security Vulnerabilities: Ever More Common
У жовтні Accenture published a report revealing a tenfold rise in Dark Web threat actors targeting macOS since 2019 — with the trend poised to continue.
The findings coincide with the emergence of sophisticated macOS infostealers created to bypass Apple’s built-in detection. And Kaspersky researchers нещодавно виявлено macOS malware targeting Bitcoin and Exodus cryptowallets, with the malicious software substituting genuine apps with compromised versions.
Bugs also continue to come to light, making initial access easier. For instance, earlier this year Apple fixed a zero-day vulnerability (CVE-2024-23222) in its Safari browser’s WebKit engine, caused by a type confusion error, where input validation assumptions can lead to exploitation.
To avoid bad Apple outcomes in general, the report strongly advises users to update macOS, iPadOS, and watchOS devices to the latest versions, exercise caution when executing shortcuts from untrusted sources, and regularly check for security updates and patches from Apple.
- Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
- PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
- PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
- ПлатонЕСГ. вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
- PlatoHealth. Розвідка про біотехнології та клінічні випробування. Доступ тут.
- джерело: https://www.darkreading.com/application-security/zero-click-apple-shortcuts-vulnerability-allows-silent-data-theft
- : має
- :є
- :де
- 10
- 14
- 17
- 2019
- 7
- a
- Здатний
- МЕНЮ
- доступ
- доступ до
- через
- актори
- Додає
- спрямований
- дозволяє
- Також
- an
- та
- Apple
- додаток
- додатка
- ЕСТЬ
- припущення
- At
- автоматизація
- Автоматизація
- уникнути
- поганий
- BE
- оскільки
- перед тим
- буття
- Біткойн
- браузер
- Помилка
- вбудований
- підприємства
- by
- обходити
- CAN
- викликаний
- обережність
- певний
- перевірка
- об'єднувати
- Приходити
- загальний
- Компрометація
- Турбота
- замішання
- згода
- продовжувати
- контроль
- може
- виробити
- створювати
- створений
- Небезпечний
- темно
- Dark Web
- дані
- призначений
- Виявлення
- пристрій
- прилади
- Директор
- Різне
- Раніше
- легше
- ефективний
- поява
- зашифрованих
- забезпечувати
- помилка
- НІКОЛИ
- все
- виконання
- Здійснювати
- Вихід
- явно
- Експлуатувати
- експлуатація
- експлуатований
- особливість
- філе
- результати
- фіксованою
- для
- Рамки
- від
- функціональні можливості
- Функції
- Загальне
- справжній
- отримати
- Давати
- надавати
- має
- Високий
- HTTPS
- зображення
- in
- інформація
- початковий
- вхід
- екземпляр
- в
- iOS
- iPadOS
- IT
- ЙОГО
- JPG
- Kaspersky
- останній
- вести
- бібліотека
- світло
- MacOS
- макроси
- зробити
- РОБОТИ
- Робить
- malicious
- шкідливих програм
- управління
- засоби
- більше
- немає
- зазначив,
- жовтень
- of
- on
- онлайн
- or
- Інше
- з
- Результати
- партнери
- Патчі
- дозвіл
- Дозволи
- Платформи
- plato
- Інформація про дані Платона
- PlatoData
- PoC
- готовий
- це можливо
- попередній
- привілеї
- піднімається
- номінальний
- регулярно
- віддалено
- звітом
- Звітність
- запросити
- вимагається
- дослідження
- Дослідники
- виявлення
- Зростання
- біг
- s
- говорить
- рахунок
- безпеку
- чутливий
- загальні
- поділ
- з
- Софтвер
- Хтось
- Джерела
- конкретний
- Рекламні
- сильно
- передбачуваний
- Переконайтеся
- система
- Systems
- націлювання
- Завдання
- завдання
- Що
- Команда
- крадіжка
- їх
- Їх
- потім
- Ці
- вони
- це
- У цьому році
- загроза
- актори загроз
- через
- до
- сьогодні
- прозорість
- Trend
- тип
- Оновити
- Updates
- переконуючи
- використовуваний
- користувач
- користувачі
- перевірка достовірності
- версія
- версії
- Уразливості
- вразливість
- we
- Web
- веб-комплект
- були
- коли
- який
- широко
- з
- без
- Робочі процеси
- б
- рік
- зефірнет