零点击苹果快捷方式漏洞允许无声数据盗窃

关注： 0

Apple Shortcuts 中出现了一个危险漏洞，攻击者可以在不要求用户授予权限的情况下访问设备上的敏感数据。

Apple 的 Shortcuts 应用程序专为 macOS 和 iOS 设计，旨在自动化任务。对于企业来说，它允许用户创建宏以在其设备上执行特定任务，然后将它们组合到从网络自动化到智能工厂功能的所有工作流程中。然后可以通过 iCloud 和其他平台与同事和合作伙伴在线共享这些内容。

根据一个 Bitdefender 的分析今天发布的漏洞 (CVE-2024-23204) 使得制作恶意快捷方式文件成为可能，该文件能够绕过 Apple 的透明度、同意和控制 (TCC) 安全框架，该框架旨在确保应用程序明确请求权限用户在访问某些数据或功能之前。

这意味着，当有人向其库添加恶意快捷方式时，它可以悄悄窃取敏感数据和系统信息，而无需获得用户授予访问权限。在概念验证 (PoC) 漏洞中，Bitdefender 研究人员能够泄露加密图像文件中的数据。

报告指出：“快捷方式是一种广泛使用的高效任务管理功能，该漏洞引发了人们对恶意快捷方式通过不同共享平台无意传播的担忧。”

该漏洞对运行 macOS Sonoma 14.3、iOS 17.3 和 iPadOS 17.3 之前版本的 macOS 和 iOS 设备构成威胁，在通用漏洞评分系统 (CVSS) 上，该漏洞的评分为 7.5 分（满分 10 分），因为它可以无需特权即可远程利用。

苹果已经修复了该漏洞，“我们敦促用户确保他们运行的是最新版本的苹果快捷方式软件”，Bitdefender 威胁研究和报告总监博格丹·博特扎图 (Bogdan Botezatu) 表示。

苹果安全漏洞：越来越普遍

十月，埃森哲发布一份报告显示，自 2019 年以来，针对 macOS 的暗网威胁行为者数量增加了十倍，而且这一趋势还将持续下去。

该发现与出现的情况相吻合复杂的 macOS 信息窃取者创建的目的是为了绕过 Apple 的内置检测。卡巴斯基研究人员最近发现 macOS 恶意软件针对比特币和 Exodus 加密钱包，恶意软件用受损版本替换正版应用程序。

错误也不断被发现，使得初始访问变得更加容易。例如，今年早些时候，苹果公司修复了其产品中的一个零日漏洞（CVE-2024-23222）。 Safari 浏览器的 WebKit 引擎，由类型混淆错误引起，其中输入验证假设可能导致利用。

为了避免苹果造成不良后果，该报告强烈建议用户将 macOS、iPadOS 和 watchOS 设备更新到最新版本，在执行来自不受信任来源的快捷方式时要小心，并定期检查来自苹果的安全更新和补丁。

时间戳记： 2022 年 7 月 15 日