Han surgido detalles sobre una enfermedad de alta gravedad. fallo de seguridad en AppleAplicación de atajos. Esta vulnerabilidad, rastreado como CVE-2024-23204, tiene el potencial de otorgar atajos acceso no autorizado a datos confidenciales sin el consentimiento del usuario.
Apple Shortcuts es una aplicación de automatización para dispositivos macOS e iOS, Permitir a los usuarios crear flujos de trabajo personalizados para optimizar tareas y aumentar la eficiencia.. Con una interfaz intuitiva, Atajos facilita la automatización de diversas acciones, que van desde tareas básicas como enviar mensajes hasta operaciones complejas que abarcan múltiples aplicaciones.
Atajos dados’ Adopción generalizada como herramienta para optimizar la gestión de tareas., la vulnerabilidad podría conducir a la propagación de atajos maliciosos a través de varias plataformas para compartir.
Vulnerabilidad CVE-2024-23204: Resumen técnico
La vulnerabilidad CVE-2024-23204 surge de una laguna en la aplicación Atajos de Apple, una herramienta de secuencias de comandos versátil que permite a los usuarios automatizar tareas en sus dispositivos. este defecto, con una puntuación CVSS de 7.5, estaba identificado por el investigador de seguridad de Bitdefender Jubaer Alnazi Jabin. Se centra en una acción de acceso directo específica llamada “Expandir URL,” cual, aunque está destinado a agilizar el procesamiento de URL, expone inadvertidamente una vía para el acceso no autorizado a datos confidenciales.
Explotando el defecto
Explotar la vulnerabilidad implica aprovechar la “Expandir URL” acción para codificar datos confidenciales, tales como fotos, contactos, archivos, o contenido del portapapeles, en formato Base64 y transmitiéndolo a un servidor malicioso. Este proceso de exfiltración de datos elude la Transparencia de Apple, Consentir, y control (TCC) políticas, que están diseñados para proteger los datos del usuario del acceso no autorizado.
Las implicaciones de esta vulnerabilidad son de gran alcance.. Los actores maliciosos podrían utilizar el exploit como arma para crear atajos nefastos capaces de recopilar información confidencial de usuarios desprevenidos.’ dispositivos. La capacidad de capturar y exfiltrar datos de forma encubierta plantea un riesgo importante para la privacidad y la seguridad., exponer potencialmente a los usuarios al robo de identidad, fraude financiero, y otras formas de explotación.
Protección contra la explotación
El problema se resolvió implementando comprobaciones de permisos adicionales.. Este problema se ha solucionado en macOS Sonoma 14.3, watchos 10.3, iOS 17.3, y iPadOS 17.3. Es posible que ciertas acciones dentro de un acceso directo hayan permitido previamente el uso de datos confidenciales sin requerir el permiso del usuario..
Ante este fallo de seguridad, Se insta a los usuarios a actualizar rápidamente sus dispositivos a las últimas versiones de software..
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: