Des détails ont émergé sur une gravité élevée faille de sécurité chez AppleL'application Raccourcis. Cette vulnérabilité, suivi comme CVE-2024-23204, a le potentiel d'accorder des raccourcis à un accès non autorisé à des données sensibles sans le consentement de l'utilisateur.
Apple Shortcuts est une application d'automatisation pour les appareils macOS et iOS, permettant aux utilisateurs de créer des flux de travail personnalisés pour optimiser les tâches et améliorer l'efficacité. Doté d'une interface intuitive, Les raccourcis facilitent l’automatisation de diverses actions, allant des tâches de base comme l'envoi de messages à des opérations complexes couvrant plusieurs applications.
Raccourcis donnés’ adoption généralisée comme outil de rationalisation de la gestion des tâches, la vulnérabilité pourrait conduire à la propagation de raccourcis malveillants sur diverses plateformes de partage.
Vulnérabilité CVE-2024-23204: Présentation technique
La vulnérabilité CVE-2024-23204 provient d'une faille dans l'application Raccourcis d'Apple, un outil de script polyvalent permettant aux utilisateurs d'automatiser des tâches sur leurs appareils. ce défaut, avec un score CVSS de 7.5, était identifié par Jubaer Alnazi Jabin, chercheur en sécurité chez Bitdefender. Il se concentre sur une action de raccourci spécifique appelée “Développer l'URL,” laquelle, tout en étant destiné à rationaliser le traitement des URL, expose par inadvertance une voie d’accès non autorisé à des données sensibles.
Exploiter la faille
Exploiter la vulnérabilité implique de tirer parti de la “Développer l'URL” action pour encoder des données sensibles, tels que des photos, contacts, fichiers, ou le contenu du presse-papiers, au format Base64 et le transmettre à un serveur malveillant. Ce processus d'exfiltration de données contourne la transparence d'Apple, Consentement, et contrôle (TCC) politiques, qui sont conçus pour protéger les données des utilisateurs contre tout accès non autorisé.
Les implications de cette vulnérabilité sont considérables. Des acteurs malveillants pourraient exploiter cet exploit pour créer des raccourcis néfastes capables de récolter des informations sensibles auprès d'utilisateurs sans méfiance.’ dispositifs. La capacité de capturer et d'exfiltrer secrètement des données présente un risque important en matière de confidentialité et de sécurité., exposant potentiellement les utilisateurs à un vol d'identité, fraude financière, et autres formes d'exploitation.
Se protéger contre l'exploitation
Le problème a été résolu en implémentant des contrôles d'autorisations supplémentaires. Ce problème a été corrigé dans macOS Sonoma 14.3, watchos 10.3, iOS 17.3, et iPadOS 17.3. Certaines actions au sein d'un raccourci peuvent avoir précédemment permis l'utilisation de données sensibles sans nécessiter l'autorisation de l'utilisateur.
À la lumière de cette faille de sécurité, les utilisateurs sont invités à mettre rapidement à jour leurs appareils avec les dernières versions du logiciel.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: