Apple Shortcuts 中的高危漏洞可能会导致用户敏感信息泄露

apple Shortcuts 应用程序中存在一个高严重性漏洞,可允许攻击者在不提示用户的情况下访问敏感信息。

图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科Apple Shortcuts 中的高危漏洞可能会导致用户敏感信息泄露

网络安全公司Bitdefender 解释说,该问题被标记为 CVE-2024-23204,影响 iOS 和 macOS 用户,只能通过某些操作触发,但允许攻击者绕过苹果管理敏感用户信息和系统资源访问的框架。

该公司表示,该问题与 Shortcuts 后台进程有关,可以绕过透明、同意和控制 (TCC),确保应用程序无法访问某些敏感信息,除非用户明确授予权限。

Apple Shortcuts 是一款自动化应用程序,提供数百个内置操作,使用户能够通过文件管理、教育、智能家居集成等个性化工作流程来简化 iOS 和 macOS 上的任务。

据 Bitdefender 称,该漏洞使得 Shortcuts 后台进程即使在沙箱中也可以访问一些敏感数据。通过使用快捷方式中的“扩展 URL”功能,网络安全公司能够绕过 TCC 并将照片的 Base64 编码数据传输到远程网站。

Bitdefender 指出:“该方法涉及在快捷方式中选择任何敏感数据(照片、联系人、文件和剪贴板数据),将其导入,使用 Base64 编码选项进行转换,最后将其转发到恶意服务器。”

然后,攻击者可以使用 Flask 程序捕获传输的数据,以收集敏感信息以供将来利用。Apple 允许用户导出和共享快捷方式,攻击者可能会滥用此功能来传播易受 CVE-2024-23204 攻击的快捷方式并瞄准安装它们的用户。

该漏洞已于 1 月份随着iOS 17.3 和 iPadOS 17.3以及 macOS Sonoma 14.3 的发布得到解决。

苹果指出:“快捷方式可能能够在某些操作中使用敏感数据,而无需提示用户。建议用户尽快安装最新的iOS和macOS补丁。”


转自安全客,原文链接:https://www.anquanke.com/post/id/293432

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞12 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容