微软发布的一份最新报告指出,攻击者可利用一个近期已修复的 macOS 漏洞,绕过“透明度、同意与控制”(TCC)安全机制,从而窃取用户的敏感信息,包括 Apple Intelligence 的缓存数据。
TCC 是苹果设备上的一项安全技术与隐私框架,旨在防止应用程序未经授权访问用户的私人数据,macOS 能通过该机制控制应用如何获取和使用这些数据。
苹果已于 3 月发布的 macOS Sequoia 15.4 补丁中修复了该漏洞(编号为 CVE-2025-31199),修复方式为“改进数据脱敏处理”。该漏洞由微软安全研究员 Jonathan Bar Or、Alexia Wilson 和 Christine Fossaceca 发现并报告。
尽管苹果对 TCC 机制做出限制,仅允许拥有完全磁盘访问权限的应用接触敏感数据,并默认阻止未授权代码的执行,但微软研究人员发现,攻击者可滥用 Spotlight 插件的特权访问权限,读取敏感文件并窃取其中的数据。
微软今日发布的报告中展示,攻击者可利用这一漏洞(微软命名为 “Sploitlight”,苹果则将其描述为“日志记录问题”)窃取高价值数据,包括 Apple Intelligence 相关信息,以及与其他 iCloud 账户绑定设备的远程信息。
此次披露的漏洞所泄露的数据类型范围广泛,包括但不限于:照片和视频的元数据、精确的地理位置信息、人脸和人物识别数据、用户行为及事件上下文、相册和共享图库、搜索记录和用户偏好设置,甚至还包括已删除的照片与视频。
自 2020 年以来,苹果已修复多项与 TCC 绕过相关的安全漏洞,其中包括利用 Time Machine 挂载实现的绕过(CVE-2020-9771)、环境变量污染漏洞(CVE-2020-9934)以及捆绑识别漏洞(CVE-2021-30713)。微软安全研究人员过去亦发现多个 TCC 绕过方式,如“powerdir”(CVE-2021-30970)和“HM-Surf”,均可被恶意利用以访问用户的私人数据。
微软本周一表示:“虽然 Sploitlight 与此前发现的绕过方式如 HM-Surf 和 powerdir 存在相似之处,但其影响更为严重,因为该漏洞能够提取并泄露 Apple Intelligence 缓存的敏感信息,如精确位置数据、媒体元数据、人脸识别信息、搜索历史、用户偏好等。”
微软进一步指出:“这些风险因 iCloud 账户间的远程关联机制而加剧。攻击者一旦入侵某台 macOS 设备,便可利用该漏洞探测与该账户绑定的其他设备的远程信息。”
近年来,微软安全团队还发现了多项 macOS 的高危漏洞。例如,2021 年披露的名为 “Shrootless”(CVE-2021-30892) 的 SIP(System Integrity Protection)绕过漏洞,可被攻击者用于在受害设备上安装 rootkit。此后,研究人员又发现了名为 “Migraine”(CVE-2023-32369)的新型 SIP 绕过漏洞,以及 “Achilles”(CVE-2022-42821),该漏洞可使不受信任的应用程序绕过 Gatekeeper 的执行限制安装恶意软件。
在 2024 年,微软还报告了另一个 SIP 绕过漏洞(CVE-2024-44243),攻击者可借此加载第三方内核扩展,植入恶意内核驱动程序。
发表评论
您还未登录,请先登录。
登录