Как полезная функция превратилась в мощный инструмент кражи данных?
В мире технологий обнаружена новая угроза, затрагивающая пользователей продукции Apple. На этот раз уязвимость касается приложения «Быстрые команды» (Shortcuts) — инструмента для создания пользовательских автоматизированных задач, который встроен в операционные системы iOS, iPadOS, macOS и watchOS.
Проблема, получившая идентификатор CVE-2024-23204 и оценку серьёзности 7.5 балла по шкале CVSS, позволяет с помощью ярлыка получить доступ к конфиденциальной информации на целевом устройстве без согласия пользователя.
Уязвимость была обнаружена специалистом безопасности из Bitdefender по имени Джубаер Альнази Джабин. Он выявил, что злоумышленники могут создать вредоносный макрос в приложении Shortcuts, который обходит политику TCC — фреймворка безопасности Apple, предназначенного для защиты данных пользователей от неавторизованного доступа.
В основе проблемы лежит функция «Expand URL» в приложении Shortcuts. Она предназначена для расширения сокращённых URL-адресов, таких как «t.co» или «bit.ly», и удаления параметров отслеживания UTM. Используя этот функционал, злоумышленники способны передавать любые файлы пользователя, закодированные в Base64, на подконтрольный вредоносный сайт.
Альнази Джабин объяснил: «Метод включает в себя выбор любых конфиденциальных данных (фотографий, контактов, файлов и данных буфера обмена) в приложении Shortcuts, их импорт, преобразование с использованием опции кодирования base64 и, в конечном итоге, пересылку на вредоносный сервер».
Эксплуатация уязвимости представляет серьёзную угрозу, поскольку приложение Shortcuts позволяет пользователям экспортировать и делиться созданными макросами, что существенно расширяет потенциал атак.
Apple оперативно отреагировала на ситуацию, выпустив обновления для своих операционных систем 22 января 2024 года. В версиях iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 и watchOS 10.3 была внедрена защита от данной угрозы. Подробности были раскрыты лишь месяц спустя, чтобы как можно большее число пользователей успело обновиться до безопасной версии ОС.
Если вы по какой-то причине до сих пор не обновили своё устройство, сделать это нужно незамедлительно, чтобы избежать потенциальной эксплуатации CVE-2024-23204.
Большой взрыв знаний каждый день в вашем телефоне