CVE-2024-23204 „Apple“ sparčiųjų klavišų pažeidžiamumas

Pasirodė informacija apie anksčiau pataisytą labai rimtą saugos pažeidžiamumą „Apple“ programoje „Shortcuts“, kuri gali įgalinti spartųjį klavišą pasiekti jautrius įrenginio duomenis be vartotojo sutikimo.

Saugos trūkumą, identifikuotą kaip CVE-2024-23204, kurio CVSS balas yra 7,5, „Apple“ pašalino 2024 m. sausio 22 d., išleisdama iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 ir watchOS 10.3.

„Apple“ patarime paaiškino, kad spartusis klavišas galėjo panaudoti neskelbtinus duomenis be vartotojo raginimo, o tai buvo ištaisyta įdiegus „papildomas leidimų patikras“.

„Shortcuts“ programa yra scenarijų rengimo įrankis, leidžiantis vartotojams kurti pritaikytas darbo eigas „iOS“, „iPadOS“, „MacOS“ ir „watchOS“. Jis yra iš anksto įdiegtas šiose operacinėse sistemose.

Pažeidžiamumas siūlo rimtą kenkėjišką potencialą

Tyrėjai pabrėžė galimą trūkumo ginklavimą, siekiant sukurti kenkėjišką nuorodą, galinčią apeiti skaidrumo, sutikimo ir kontrolės (TCC) politiką. TCC yra „Apple“ saugos sistema, skirta apsaugoti vartotojo duomenis, reikalaujant atitinkamų leidimų.

Pažeidžiamumas yra konkrečiai susietas su sparčiojo klavišo veiksmu, pavadintu „Išplėsti URL“, kuris gali išplėsti ir išvalyti sutrumpintus URL iš tokių paslaugų kaip t.co arba bit.ly, taip pat pašalinant UTM stebėjimo parametrus.

Išnaudojus šią funkciją, atsirado galimybė perduoti Base64 koduotus nuotraukos duomenis į kenkėjišką svetainę. Šis metodas apima neskelbtinų duomenų (pvz., nuotraukų, kontaktų, failų ir iškarpinės duomenų) pasirinkimą sparčiuosiuose klavišuose, jų importavimą, konvertavimą naudojant base64 kodavimo parinktį ir galiausiai siuntimą į kenkėjišką serverį.

Tada išfiltruoti duomenys užfiksuojami ir išsaugomi kaip vaizdas užpuoliko pusėje naudojant programą „Flask“, atveriant duris galimam tolesniam išnaudojimui.