注意！苹果快捷方式漏洞 (CVE-2024-23204) 可以暴露敏感数据

网络安全公司 Bitdefender 在 Apple Shortcuts 中发现了一个严重等级为 7.5/10 的漏洞，允许攻击者在不提示用户的情况下访问敏感数据。 根据 Bitdefender 于 2024 年 2 月 22 日发布的博客文章，此漏洞被跟踪为 CVE-2024-23204，允许攻击者创建绕过 Apple 的 macOS 和 iOS 安全框架的快捷方式文件。

Apple Shortcuts 是一款流行的 macOS 和 iOS 自动化应用程序，它允许用户使用可视化编程创建个性化的工作流程来自动执行应用程序控制、媒体管理、消息传递、基于位置的操作等任务，从而简化任务。用户可以创建用于文件管理、健康跟踪、网络自动化、教育和智能家居集成的工作流，从而提高生产力和用户体验。

该漏洞是在 Apple 的快捷方式社区的快捷方式共享/扩展机制中发现的。该社区允许用户发现和加快自动化工作流程以及导出/共享快捷方式。

另一方面，CVE-2024-23204 允许用户在不知不觉中导入可能利用 macOS 和 iOS 中的透明度、同意和控制 （TCC） 安全框架的快捷方式。此框架通过在访问敏感数据或功能之前要求明确许可来帮助确保用户隐私和安全。

正如研究人员在他们的博客文章中指出的那样，在攻击过程中，快捷方式中的“扩展 URL”功能允许攻击者将 base64 编码的照片数据传输到恶意网站。这包括选择敏感数据、导入敏感数据、使用 base64 编码选项转换敏感数据，并将其转发到服务器。Flask 程序捕获传输的数据，允许攻击者存储数据以供利用。此问题已在 macOS Sonoma 14.3、watchOS 10.3、iOS 17.3 和 iPadOS 17.3 中修复。

尽管如此，它还是强调了苹果快捷方式应用程序持续保持安全警惕的必要性，因为它可能存在隐私泄露。建议用户使用最新的软件。建议用户更新 macOS、iPadOS 和 watchOS 设备，在执行来自不受信任来源的快捷指令时保持谨慎，并定期检查 Apple 安全性更新和补丁。