Появились подробности об исправленной серьезной ошибке безопасности в приложении Apple "Ярлыки", которая может позволить с помощью ярлыка получить доступ к конфиденциальной информации на устройстве без согласия пользователя.
Уязвимость, отслеживаемая как CVE-2024-23204 (оценка CVSS: 7.5), была устранена Apple 22 января 2024 года с выпуском iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 и watchOS 10.3.
"Ярлык может использовать конфиденциальные данные для определенных действий без запроса пользователя", - говорится в сообщении производителя iPhone, в котором говорится, что это было исправлено с помощью "дополнительных проверок разрешений".
Apple Shortcuts - это скриптовое приложение, которое позволяет пользователям создавать персонализированные рабочие процессы (также известные как макросы) для выполнения конкретных задач на своих устройствах. Она устанавливается по умолчанию в операционных системах iOS, iPadOS, macOS и watchOS.
Исследователь безопасности Bitdefender Джубаер Альнази Джабин, обнаруживший ошибку с ярлыками и сообщивший об этом, сказал, что ее можно использовать для создания вредоносного ярлыка, позволяющего обходить политики прозрачности, согласия и контроля (TCC).
TCC - это платформа безопасности Apple, предназначенная для защиты пользовательских данных от несанкционированного доступа без предварительного запроса соответствующих разрешений.
В частности, ошибка связана с действием быстрого доступа под названием "Развернуть URL", которое способно расширять и очищать URL, которые были сокращены, с помощью службы сокращения URL, такой как t.co или bit.ly, а также удаляют параметры отслеживания UTM.
"Используя эту функциональность, стало возможным передавать данные фотографии в кодировке Base64 на вредоносный веб-сайт", - объяснил Альнази Джабин.
"Метод включает в себя выбор любых конфиденциальных данных (фотографий, контактов, файлов и данных буфера обмена) в ярлыках, их импорт, преобразование с использованием опции кодирования base64 и, в конечном итоге, пересылку на вредоносный сервер".
Затем отфильтрованные данные перехватываются и сохраняются злоумышленником в виде изображения с помощью приложения Flask, что открывает путь для последующего использования.
"Ярлыки можно экспортировать и распространять среди пользователей, что является обычной практикой в сообществе ярлыков", - сказал исследователь. "Этот механизм совместного использования расширяет потенциальный охват уязвимости, поскольку пользователи неосознанно импортируют ярлыки, которые могут использовать CVE-2024-23204".
Уязвимость, отслеживаемая как CVE-2024-23204 (оценка CVSS: 7.5), была устранена Apple 22 января 2024 года с выпуском iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 и watchOS 10.3.
"Ярлык может использовать конфиденциальные данные для определенных действий без запроса пользователя", - говорится в сообщении производителя iPhone, в котором говорится, что это было исправлено с помощью "дополнительных проверок разрешений".
Apple Shortcuts - это скриптовое приложение, которое позволяет пользователям создавать персонализированные рабочие процессы (также известные как макросы) для выполнения конкретных задач на своих устройствах. Она устанавливается по умолчанию в операционных системах iOS, iPadOS, macOS и watchOS.
Исследователь безопасности Bitdefender Джубаер Альнази Джабин, обнаруживший ошибку с ярлыками и сообщивший об этом, сказал, что ее можно использовать для создания вредоносного ярлыка, позволяющего обходить политики прозрачности, согласия и контроля (TCC).
TCC - это платформа безопасности Apple, предназначенная для защиты пользовательских данных от несанкционированного доступа без предварительного запроса соответствующих разрешений.
В частности, ошибка связана с действием быстрого доступа под названием "Развернуть URL", которое способно расширять и очищать URL, которые были сокращены, с помощью службы сокращения URL, такой как t.co или bit.ly, а также удаляют параметры отслеживания UTM.
"Используя эту функциональность, стало возможным передавать данные фотографии в кодировке Base64 на вредоносный веб-сайт", - объяснил Альнази Джабин.
"Метод включает в себя выбор любых конфиденциальных данных (фотографий, контактов, файлов и данных буфера обмена) в ярлыках, их импорт, преобразование с использованием опции кодирования base64 и, в конечном итоге, пересылку на вредоносный сервер".
Затем отфильтрованные данные перехватываются и сохраняются злоумышленником в виде изображения с помощью приложения Flask, что открывает путь для последующего использования.
"Ярлыки можно экспортировать и распространять среди пользователей, что является обычной практикой в сообществе ярлыков", - сказал исследователь. "Этот механизм совместного использования расширяет потенциальный охват уязвимости, поскольку пользователи неосознанно импортируют ярлыки, которые могут использовать CVE-2024-23204".
