CVE-2024-23204 Apple のショートカットの脆弱性

Apple のショートカット アプリには、以前にパッチが適用された重大度の高いセキュリティ脆弱性に関する情報が明らかになりました。この脆弱性により、ユーザーの同意なしにショートカットがデバイスの機密データにアクセスできる可能性があります。

このセキュリティ上の欠陥は、CVSS スコア 7.5 の CVE-2024-23204 として特定され、2024 年 1 月 22 日に Apple によって iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3、watchOS 10.3 のリリースを通じて対処されました。

Appleはアドバイザリーの中で、ユーザーの指示なしにショートカットが機密データを利用できた可能性があり、これは「追加の権限チェック」の実装によって修正されたと説明した。

ショートカット アプリは、ユーザーが iOS、iPadOS、macOS、watchOS 上でカスタマイズされたワークフローを作成できるようにするスクリプト ツールです。これらのオペレーティング システムにはプリインストールされています。

脆弱性により深刻な悪意のある可能性がもたらされる

研究者らは、透明性、同意、および制御 (TCC) ポリシーを回避できる悪意のあるショートカットを作成するために、この欠陥が武器化される可能性を強調しました。 TCC は、適切なアクセス許可を要求することでユーザー データを保護するように設計された Apple セキュリティ フレームワークです。

この脆弱性は、特に「URL の展開」という名前のショートカット アクションに関連しています。このアクションは、t.co や bit.ly などのサービスから短縮 URL を展開してクリーンアップすると同時に、UTM 追跡パラメータも削除します。

この機能を悪用すると、Base64でエンコードされた写真データを悪意のあるWebサイトに送信することが可能になった。この方法では、ショートカット内の機密データ (写真、連絡先、ファイル、クリップボード データなど) を選択し、インポートし、base64 エンコード オプションを使用して変換し、最終的に悪意のあるサーバーに送信します。

抽出されたデータは、Flask アプリケーションを通じて攻撃者側でイメージとしてキャプチャおよび保存され、後続の悪用の可能性への扉を開きます。