Κρίσιμη ευπάθεια ασφαλείας σε δημοφιλές εργαλείο παραγωγικότητας της Apple: Επιδιόρθωση αμέσως

Οι ειδικοί έχουν προειδοποιήσει ότι η δημοφιλής εφαρμογή παραγωγικότητας iOS είχε ελαττώματα με τρόπο που επέτρεπε σ

του

ς παράγοντες

απε

ιλών να κλέψουν ευαίσθητα δεδομένα από την ευάλωτη συσκευή.

Η εν λόγω εφαρμογή ονομάζεται Apple Shortcuts και λειτουργεί ως ένα εξαιρετικό widget εξοικονόμησης χρόνου που επιτρέπει στις εφαρμογές να αλληλεπιδρούν μεταξύ τους σε συγκεκριμένες εργασίες και έτσι να δημιουργούν χρήσιμες ενέργειες, όπως η χρήση της για τον προσδιορισμό της τοποθεσίας του χρήστη, τον υπολογισμό του χρόνος που θα χρειαστεί για να φτάσετε στο σπίτι και να στείλετε αυτές τις πληροφορίες μέσω SMS σε μια επαφή.

Τώρα,



Τα Νέα των Χάκερ



αναφέρει ότι οι Συντομεύσεις έφεραν ένα ελάττωμα υψηλής σοβαρότητας που επέτρεπε σε μη αναγνωρισμένα άτομα να έχουν πρόσβαση σε ευαίσθητες πληροφορίες, αποθηκευμένες στη συσκευή, χωρίς τη συγκατάθεση του χρήστη.

Το

ελάττωμα παρακολουθείται ως CVE-2024-23204 και έχει βαθμολογία σοβαρότητας 7,5.

Παράκαμψη της ασφάλειας

email

“Μια συντόμευση μπορεί να μπορεί να χρησιμοποιεί ευαίσθητα δεδομένα με συγκεκριμένες ενέργειες χωρίς να ζητά από τον χρήστη”, ανέφερε η Apple στη συμβουλευτική που δημοσιεύτηκε με την

ενημέρωση

κώδικα για το ελάττωμα. Η ευπάθεια διορθώθηκε με “επιπρόσθετους ελέγχους αδειών”.

Ενώ η εξήγηση της Apple μπορεί να είναι καθαρά θεωρητική, μία από

Ο ερευνητής ασφάλειας του Bitdefender, Jubaer Alnazi Jabin

είναι πολύ πιο πρακτικό. Ο Jabin, ο οποίος ήταν αυτός που ανέφερε το σφάλμα στην Apple εξαρχής, είπε ότι το ελάττωμα θα μπορούσε να γίνει κατάχρηση για τη δημιουργία μιας κακόβουλης συντόμευσης που μπορεί να λειτουργήσει γύρω από τις πολιτικές Διαφάνειας, Συναίνεσης και Ελέγχου (TCC) – το πλαίσιο προστασίας δεδομένων της Apple.

Εξηγώντας πώς λειτουργεί το ελάττωμα, ο Jabin είπε ότι οι Συντομεύσεις έχουν μια ενέργεια που ονομάζεται “Ανάπτυξη URL”, η οποία επεκτείνει τις συντομευμένες διευθύνσεις URL και τις καθαρίζει από ετικέτες UTM.

“Με τη μόχλευση αυτής της λειτουργικότητας, κατέστη δυνατή η μετάδοση των δεδομένων που κωδικοποιούνται από το Base64 μιας φωτογραφίας σε έναν κακόβουλο ιστότοπο”, είπε ο Jabin. “Η μέθοδος περιλαμβάνει την επιλογή οποιωνδήποτε ευαίσθητων δεδομένων (Φωτογραφίες, Επαφές, Αρχεία και δεδομένα του προχείρου) μέσα στις Συντομεύσεις, την εισαγωγή τους, τη μετατροπή τους χρησιμοποιώντας την επιλογή κωδικοποίησης base64 και, τελικά, την προώθηση τους στον κακόβουλο διακομιστή.”

Τα δεδομένα μπορούν στη συνέχεια να αποθηκευτούν ως εικόνα μέσω του Flask. «Οι συντομεύσεις μπορούν να εξαχθούν και να μοιραστούν μεταξύ των χρηστών, μια κοινή πρακτική στην κοινότητα των Συντομεύσεων», είπε ο ερευνητής. “Αυτός ο μηχανισμός κοινής χρήσης επεκτείνει την πιθανή εμβέλεια της ευπάθειας, καθώς οι χρήστες εισάγουν εν αγνοία τους συντομεύσεις που ενδέχεται να εκμεταλλευτούν το CVE-2024-23204.”