CVE-2024-23204 Luka w zabezpieczeniach Apple związana ze skrótami

Pojawiły się informacje dotyczące wcześniej załatanej luki w zabezpieczeniach aplikacji Apple Shortcuts o dużej wadze, która może umożliwić skrótowi dostęp do wrażliwych danych urządzenia bez zgody użytkownika.

Luka w zabezpieczeniach, zidentyfikowana jako CVE-2024-23204 z wynikiem CVSS 7,5, została naprawiona przez firmę Apple 22 stycznia 2024 r. poprzez wydanie iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 i watchOS 10.3.

Firma Apple wyjaśniła w poradniku, że skrót mógł umożliwić wykorzystanie wrażliwych danych bez monitowania użytkownika, co naprawiono poprzez wdrożenie „dodatkowych kontroli uprawnień”.

Aplikacja Skróty to narzędzie do tworzenia skryptów, które umożliwia użytkownikom tworzenie niestandardowych przepływów pracy w systemach iOS, iPadOS, macOS i watchOS. Jest on preinstalowany w tych systemach operacyjnych.

Luka w zabezpieczeniach stwarza poważny potencjał złośliwego oprogramowania

Badacze zwrócili uwagę na potencjalne wykorzystanie luki w celu stworzenia złośliwego skrótu umożliwiającego obejście zasad przejrzystości, zgody i kontroli (TCC). TCC to platforma bezpieczeństwa Apple zaprojektowana w celu ochrony danych użytkowników poprzez wymaganie odpowiednich uprawnień.

Luka jest w szczególności powiązana ze skrótem o nazwie „Rozwiń adres URL”, który może rozwinąć i wyczyścić skrócone adresy URL z usług takich jak t.co czy bit.ly, usuwając jednocześnie parametry śledzenia UTM.

Dzięki wykorzystaniu tej funkcji możliwe stało się przesyłanie danych zdjęcia zakodowanych w formacie Base64 do złośliwej witryny internetowej. Metoda ta polega na wybraniu wrażliwych danych (takich jak zdjęcia, kontakty, pliki i dane ze schowka) w ramach skrótów, zaimportowaniu ich, przekonwertowaniu przy użyciu opcji kodowania base64 i ostatecznie wysłaniu na złośliwy serwer.

Ekstrahowane dane są następnie przechwytywane i zapisywane jako obraz po stronie atakującego za pośrednictwem aplikacji Flask, co otwiera drzwi do potencjalnego dalszego wykorzystania.