CVE-2024-23204 Vulnérabilité des raccourcis Apple

Des informations ont fait surface concernant une vulnérabilité de sécurité de haute gravité précédemment corrigée dans l'application Raccourcis d'Apple, qui pourrait permettre un raccourci pour accéder aux données sensibles de l'appareil sans le consentement de l'utilisateur.

La faille de sécurité, identifiée comme CVE-2024-23204 avec un score CVSS de 7,5, a été corrigée par Apple le 22 janvier 2024, via la sortie d'iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 et watchOS 10.3.

Apple a expliqué dans un avis qu'un raccourci aurait pu utiliser des données sensibles sans invite de l'utilisateur, et cela a été corrigé grâce à la mise en œuvre de « vérifications d'autorisations supplémentaires ».

L'application Raccourcis est un outil de script qui permet aux utilisateurs de créer des flux de travail personnalisés sur iOS, iPadOS, macOS et watchOS. Il est préinstallé sur ces systèmes d'exploitation.

La vulnérabilité offre un sérieux potentiel malveillant

Les chercheurs ont souligné la potentielle militarisation de la faille pour créer un raccourci malveillant capable de contourner les politiques de transparence, de consentement et de contrôle (TCC). TCC est un cadre de sécurité Apple conçu pour protéger les données des utilisateurs en exigeant les autorisations appropriées.

La vulnérabilité est spécifiquement liée à une action de raccourci nommée « Développer l'URL », qui peut développer et nettoyer les URL raccourcies de services comme t.co ou bit.ly, tout en supprimant également les paramètres de suivi UTM.

En exploitant cette fonctionnalité, il est devenu possible de transmettre les données d’une photo codées en Base64 à un site Web malveillant. Cette méthode consiste à sélectionner des données sensibles (telles que des photos, des contacts, des fichiers et des données du presse-papiers) dans les raccourcis, à les importer, à les convertir à l'aide de l'option d'encodage base64 et, finalement, à les envoyer au serveur malveillant.

Les données exfiltrées sont ensuite capturées et enregistrées sous forme d'image du côté de l'attaquant via une application Flask, ouvrant ainsi la porte à une éventuelle exploitation ultérieure.

Par Zaib
February 29, 2024
Computer Security
Français
February 29, 2024
Computer Security

Articles Populaires

Qu'est-ce que le fichier OperaGXSetup.exe et est-il malveillant ?

Il y a 11 months

Eporner.com et pourquoi ses pop-ups excessifs sont risqués

Il y a 12 days

Prenez note : quelqu'un vous a ajouté comme arnaque par...

Il y a 10 months

HackTool:Win32/Crack : une menace malveillante qui peut...

Il y a 7 months

Une menace potentiellement sérieuse : Trojan:Win32/Suschil!rfn

Il y a 19 days

Qu'est-ce que la menace du cheval de Troie Packunwan et...

Il y a 11 months
Français
Chargement...

Cyclonis Password Manager Details & Terms

Essai GRATUIT: Offre unique de 30 jours ! Aucune carte de crédit requise pour l'essai gratuit. Fonctionnalité complète pendant toute la durée de l'essai gratuit. (La fonctionnalité complète après l'essai gratuit nécessite l'achat d'un abonnement.) Pour en savoir plus sur nos politiques et nos tarifs, consultez le CLUF, la politique de confidentialité, les conditions de remise et la page d'achat. Si vous souhaitez désinstaller l'application, veuillez consulter la page Instructions de désinstallation.

Accueil

Produits

Cyclonis Password Manager Cyclonis World Time

Assistance

Aide FAQs Downloads Demandes d'informations et Assistance

Société

À propos de nous Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Politique de confidentialité Politique de Cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows est une marque de Microsoft, déposée aux États-Unis et dans d'autres pays.
Mac, iPhone, iPad et App Store sont des marques commerciales d'Apple Inc., déposées aux États-Unis et dans d'autres pays.
iOS est une marque déposée de Cisco Systems, Inc. et/ou de ses filiales aux États-Unis et dans certains autres pays.
Android et Google Play sont des marques déposées de Google LLC.