重大度の高い問題についての詳細が明らかになりました Appleのセキュリティ上の欠陥のショートカットアプリ. この脆弱性, CVE-2024-23204 として追跡される, ユーザーの同意なしに機密データへの不正アクセスをショートカットに許可する可能性があります.
Apple Shortcuts は、macOS および iOS デバイス用の自動化アプリケーションです, ユーザーがカスタマイズされたワークフローを作成してタスクを最適化し、効率を高めることができるようにする. 直感的なインターフェースを搭載, ショートカットにより、さまざまなアクションの自動化が容易になります, メッセージの送信などの基本的なタスクから、複数のアプリケーションにまたがる複雑な操作まで多岐にわたります。.
与えられたショートカット’ タスク管理を効率化するツールとして広く普及, この脆弱性により、さまざまな共有プラットフォーム間で悪意のあるショートカットが伝播される可能性があります。.
CVE-2024-23204 脆弱性: 技術概要
CVE-2024-23204 脆弱性は、Apple のショートカット アプリの抜け穴に起因します。, ユーザーがデバイス上でタスクを自動化できる多用途のスクリプト ツール. この欠陥, CVSSスコアが 7.5, だった 識別された Bitdefender セキュリティ研究者 Jubaer Alnazi Jabin 著. と呼ばれる特定のショートカット アクションを中心にしています。 “URLを展開,” どれの, URL 処理を合理化することを目的としていますが、, 機密データへの不正アクセスの経路を誤って公開してしまう.
欠陥の悪用
この脆弱性を悪用するには、 “URLを展開” 機密データをエンコードするアクション, 写真など, 連絡先, ファイル, またはクリップボードの内容, Base64形式に変換して悪意のあるサーバーに送信する. このデータ抽出プロセスは Apple の透明性を回避します。, 同意, とコントロール (TCC) ポリシー, ユーザーデータを不正アクセスから保護するように設計されています.
この脆弱性の影響は広範囲に及びます. 悪意のある攻撃者は、このエクスプロイトを武器にして、疑いを持たないユーザーから機密情報を収集できる極悪なショートカットを作成する可能性があります。’ デバイス. データを秘密裏に取得して持ち出す機能は、プライバシーとセキュリティに重大なリスクをもたらします, ユーザーを個人情報の盗難にさらす可能性がある, 金融詐欺, およびその他の形態の搾取.
エクスプロイトからの保護
この問題は追加の権限チェックを実装することで解決されました. この問題は macOS Sonoma で修正されました。 14.3, watchOS 10.3, iOS 17.3, およびiPadOS 17.3. ショートカット内の特定のアクションにより、以前はユーザーの許可を必要とせずに機密データの使用が可能になっていた可能性があります.
このセキュリティ上の過失を考慮して, ユーザーはデバイスを最新のソフトウェア バージョンに速やかに更新するよう求められます。.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: