Apple Shortcuts 中的高严重性漏洞可能会导致用户敏感信息泄露

阅读量47271

发布时间 : 2024-02-26 11:11:42

Apple Shortcuts 应用程序中存在一个高严重性漏洞,可能允许攻击者在不提示用户的情况下访问敏感信息。

网络安全公司Bitdefender 解释说,该问题被追踪为 CVE-2024-23204,影响 iOS 和 macOS 用户,只能通过某些操作触发,但允许攻击者绕过苹果管理敏感用户信息和系统资源访问的框架。

该公司表示,该问题与 Shortcuts 后台进程有关,可以绕过透明、同意和控制 (TCC),确保应用程序无法访问某些敏感信息,除非用户明确授予权限。

Apple Shortcuts 是一款自动化应用程序,提供数百个内置操作,使用户能够通过文件管理、教育、智能家居集成等个性化工作流程来简化 iOS 和 macOS 上的任务。

据 Bitdefender 称,该漏洞使得 Shortcuts 后台进程即使在沙箱中也可以访问一些敏感数据。

通过使用快捷方式中的“扩展 URL”功能,网络安全公司能够绕过 TCC 并将照片的 Base64 编码数据传输到远程网站。

Bitdefender 指出:“该方法涉及在快捷方式中选择任何敏感数据(照片、联系人、文件和剪贴板数据),将其导入,使用 Base64 编码选项进行转换,最后将其转发到恶意服务器。”

然后,攻击者可以使用 Flask 程序捕获传输的数据,以收集敏感信息以供将来利用。

Apple 允许用户导出和共享快捷方式,攻击者可能会滥用此功能来传播易受 CVE-2024-23204 攻击的快捷方式并瞄准安装它们的用户。

该漏洞已于 1 月份随着iOS 17.3 和 iPadOS 17.3以及 macOS Sonoma 14.3 的发布得到解决。

苹果指出:“快捷方式可能能够在某些操作中使用敏感数据,而无需提示用户。”

苹果表示,它通过额外的权限检查解决了这个问题。建议用户尽快安装最新的iOS和macOS补丁。

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+17赞
收藏
安全客
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66