Der er fremkommet detaljer om en høj sværhedsgrad sikkerhedsfejl i Apple's genvejsapp. Denne sårbarhed, spores som CVE-2024-23204, har potentiale til at give genveje uautoriseret adgang til følsomme data uden brugerens samtykke.
Apple Shortcuts er et automatiseringsprogram til macOS- og iOS-enheder, giver brugerne mulighed for at lave skræddersyede arbejdsgange for at optimere opgaver og øge effektiviteten. Med en intuitiv grænseflade, Genveje letter automatiseringen af forskellige handlinger, lige fra grundlæggende opgaver som at sende beskeder til indviklede operationer, der spænder over flere applikationer.
Givet genveje’ udbredt anvendelse som et værktøj til at strømline opgavestyring, sårbarheden kan føre til udbredelse af ondsindede genveje på tværs af forskellige delingsplatforme.
CVE-2024-23204 Sårbarhed: Teknisk oversigt
CVE-2024-23204-sårbarheden stammer fra et smuthul i Apples genvejsapp, et alsidigt scriptværktøj, der giver brugerne mulighed for at automatisere opgaver på deres enheder. Denne fejl, med en CVSS score på 7.5, var identificeret af Bitdefender sikkerhedsforsker Jubaer Alnazi Jabin. Den er centreret omkring en bestemt genvejshandling kaldet “Udvid URL,” hvilken, mens det er beregnet til at strømline URL-behandling, utilsigtet afslører en vej for uautoriseret adgang til følsomme data.
Udnyttelse af fejlen
Udnyttelse af sårbarheden involverer udnyttelse af “Udvid URL” handling for at kode følsomme data, såsom billeder, kontakter, filer, eller udklipsholderens indhold, til Base64-format og overføre det til en ondsindet server. Denne dataeksfiltreringsproces omgår Apples gennemsigtighed, Samtykke, og kontrol (TCC) politikker, som er designet til at beskytte brugerdata mod uautoriseret adgang.
Konsekvenserne af denne sårbarhed er vidtrækkende. Ondsindede aktører kunne våben udnyttelsen til at lave ondsindede genveje, der er i stand til at høste følsom information fra intetanende brugere’ enheder. Evnen til hemmeligt at fange og eksfiltrere data udgør en betydelig privatlivs- og sikkerhedsrisiko, potentielt udsætter brugere for identitetstyveri, økonomisk svindel, og andre former for udnyttelse.
Beskyttelse mod udnyttelse
Problemet blev løst ved at implementere yderligere kontrol af tilladelser. Dette problem er blevet rettet i macOS Sonoma 14.3, watchOS 10.3, iOS 17.3, og iPadOS 17.3. Visse handlinger inden for en genvej kan tidligere have aktiveret brugen af følsomme data uden at kræve brugertilladelse.
I lyset af denne sikkerhed bortfalder, brugere opfordres til omgående at opdatere deres enheder til de nyeste softwareversioner.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: