CVE-2024-23204 Kwetsbaarheid van Apple's snelkoppelingen

Er is informatie opgedoken over een eerder gepatcht beveiligingsprobleem van hoge ernst in de Shortcuts-app van Apple, waardoor een snelkoppeling mogelijk is om toegang te krijgen tot gevoelige apparaatgegevens zonder toestemming van de gebruiker.

Het beveiligingslek, geïdentificeerd als CVE-2024-23204 met een CVSS-score van 7,5, werd op 22 januari 2024 door Apple verholpen met de release van iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 en watchOS 10.3.

Apple legde in een advies uit dat een snelkoppeling mogelijk gevoelige gegevens had kunnen gebruiken zonder dat de gebruiker erom vroeg, en dit werd verholpen door de implementatie van "aanvullende toestemmingscontroles".

De Shortcuts-app is een scripttool waarmee gebruikers aangepaste workflows kunnen maken op iOS, iPadOS, macOS en watchOS. Het is vooraf geïnstalleerd op deze besturingssystemen.

Kwetsbaarheid biedt ernstige schadelijke mogelijkheden

Onderzoekers benadrukten de potentiële bewapening van de fout om een kwaadaardige sluiproute te creëren die in staat is het beleid inzake transparantie, toestemming en controle (TCC) te omzeilen. TCC is een beveiligingsframework van Apple dat is ontworpen om gebruikersgegevens te beschermen door de juiste machtigingen te vereisen.

Het beveiligingslek is specifiek gekoppeld aan een snelkoppeling met de naam 'URL uitbreiden', die verkorte URL's van diensten als t.co of bit.ly kan uitbreiden en opschonen, terwijl ook UTM-trackingparameters worden verwijderd.

Door gebruik te maken van deze functionaliteit werd het mogelijk om Base64-gecodeerde gegevens van een foto naar een kwaadwillende website te verzenden. Deze methode omvat het selecteren van gevoelige gegevens (zoals foto's, contacten, bestanden en klembordgegevens) binnen snelkoppelingen, deze importeren, converteren met behulp van de base64-coderingsoptie en uiteindelijk naar de kwaadaardige server sturen.

De geëxfiltreerde gegevens worden vervolgens vastgelegd en als afbeelding aan de kant van de aanvaller opgeslagen via een Flask-applicatie, waardoor de deur wordt geopend voor mogelijke vervolgexploitatie.