Apple Shortcuts 存在高危漏洞,可能会导致用户敏感信息泄露

admin 2024年2月28日12:43:25评论11 views字数 790阅读2分38秒阅读模式

Apple Shortcuts 存在高危漏洞,可能会导致用户敏感信息泄露

关键词

安全漏洞

Apple Shortcuts 应用程序中存在一个高严重性漏洞,可允许攻击者在不提示用户的情况下访问敏感信息。

网络安全公司Bitdefender 解释说,该问题被标记为 CVE-2024-23204,影响 iOS 和 macOS 用户,只能通过某些操作触发,但允许攻击者绕过苹果管理敏感用户信息和系统资源访问的框架。

该公司表示,该问题与 Shortcuts 后台进程有关,可以绕过透明、同意和控制 (TCC),确保应用程序无法访问某些敏感信息,除非用户明确授予权限。

Apple Shortcuts 是一款自动化应用程序,提供数百个内置操作,使用户能够通过文件管理、教育、智能家居集成等个性化工作流程来简化 iOS 和 macOS 上的任务。

据 Bitdefender 称,该漏洞使得 Shortcuts 后台进程即使在沙箱中也可以访问一些敏感数据。通过使用快捷方式中的“扩展 URL”功能,网络安全公司能够绕过 TCC 并将照片的 Base64 编码数据传输到远程网站。

Bitdefender 指出:“该方法涉及在快捷方式中选择任何敏感数据(照片、联系人、文件和剪贴板数据),将其导入,使用 Base64 编码选项进行转换,最后将其转发到恶意服务器。”

然后,攻击者可以使用 Flask 程序捕获传输的数据,以收集敏感信息以供将来利用。Apple 允许用户导出和共享快捷方式,攻击者可能会滥用此功能来传播易受 CVE-2024-23204 攻击的快捷方式并瞄准安装它们的用户。

该漏洞已于 1 月份随着iOS 17.3 和 iPadOS 17.3以及 macOS Sonoma 14.3 的发布得到解决。

苹果指出:“快捷方式可能能够在某些操作中使用敏感数据,而无需提示用户。建议用户尽快安装最新的iOS和macOS补丁。”

来源:安全客

   END  

原文始发于微信公众号(安全圈):【安全圈】Apple Shortcuts 存在高危漏洞,可能会导致用户敏感信息泄露

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月28日12:43:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Apple Shortcuts 存在高危漏洞,可能会导致用户敏感信息泄露https://cn-sec.com/archives/2531341.html

发表评论

匿名网友 填写信息