聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
苹果的 Shortcuts 应用为 macOS 和 iOS 而设置,旨在将任务自动化。对于企业而言,该应用可使用户创建宏在设备上执行具体任务,之后将它们组合到工作流中,用于 web 自动化、智慧工厂功能等。随后可通过 iCloud 和其它平台与同事和合作伙伴在线分享。
Bitdefender 发布分析指出,该漏洞可使攻击者构造恶意 Shortcuts 文件,绕过苹果的“透明、同意和控制 (TCC) ”安全框架。而该框架用于确保应用在访问某些数据或功能前明确请求用户获得权限。
这就意味着当有人将恶意捷径增加到库时,可悄悄盗取敏感数据和系统信息,而无需从用户获得访问权限。研究人员在 PoC 利用中展示了他们能够提取加密图像文件中的数据。
报告提到,“随着 Shortcuts 成为用于有效任务管理广为使用的特性,该漏洞引发了关于通过多种分享平台传播恶意捷径的担忧。”
该漏洞无需权限即可遭远程利用,为运行 macOS Sonoma 14.3、iOS 17.3和iPadOS 17.3的 macOS 和 iOS 设备造成威胁,CVSS评分为7.5。苹果已修复该漏洞,并提到,“我们督促用户确保运行 Apple Shortcuts 软件的最新版本。”
去年10月份,Accenture 发布报告指出自2019年以来,暗网上针对 macOS 的威胁行动者的数量增加了10倍,且这个趋势仍将持续。
这一研究成果和复杂的用于绕过苹果内置检测的 macOS 信息窃取器的出现一致。卡巴斯基研究人员最近发现针对比特币和 Exodus 密币钱包的 macOS 恶意软件。该恶意软件以受攻陷版本替换合法应用。
漏洞也不断出现,使得初始访问更为容易。例如,今年早些时候,苹果修复了位于 Safari 浏览器 WebKit 引擎中的一个 0day 漏洞 (CVE-2024-23222)。该漏洞由类型混淆错误引发。
为避免恶意后果,该报告强烈建议用户将 macOS、iPadOS和watchOS 设备更新至最新版本,谨慎执行来自不可信来源的捷径并定期检查苹果发布的安全更新和补丁。
原文始发于微信公众号(代码卫士):苹果 Shortcuts 零点击漏洞可导致数据被盗
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论