CVE-2024-23204 Vulnerabilidade de atalhos da Apple

Surgiram informações sobre uma vulnerabilidade de segurança de alta gravidade corrigida anteriormente no aplicativo Shortcuts da Apple, que poderia permitir um atalho para acessar dados confidenciais do dispositivo sem o consentimento do usuário.

A falha de segurança, identificada como CVE-2024-23204 com pontuação CVSS de 7,5, foi corrigida pela Apple em 22 de janeiro de 2024, por meio do lançamento do iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 e watchOS 10.3.

A Apple explicou em um comunicado que um atalho pode ter sido capaz de utilizar dados confidenciais sem aviso do usuário, e isso foi corrigido através da implementação de “verificações de permissões adicionais”.

O aplicativo Shortcuts é uma ferramenta de script que permite aos usuários criar fluxos de trabalho personalizados em iOS, iPadOS, macOS e watchOS. Ele vem pré-instalado nesses sistemas operacionais.

Vulnerabilidade oferece sério potencial malicioso

Os pesquisadores destacaram o potencial de armamento da falha para criar um atalho malicioso capaz de contornar as políticas de Transparência, Consentimento e Controle (TCC). TCC é uma estrutura de segurança da Apple projetada para proteger os dados do usuário, exigindo permissões apropriadas.

A vulnerabilidade está especificamente ligada a uma ação de atalho chamada “Expandir URL”, que pode expandir e limpar URLs encurtados de serviços como t.co ou bit.ly, ao mesmo tempo que remove parâmetros de rastreamento UTM.

Ao aproveitar essa funcionalidade, tornou-se possível transmitir dados de uma foto codificados em Base64 para um site malicioso. Este método envolve a seleção de dados confidenciais (como fotos, contatos, arquivos e dados da área de transferência) em atalhos, importá-los, convertê-los usando a opção de codificação base64 e, por fim, enviá-los ao servidor malicioso.

Os dados exfiltrados são então capturados e salvos como uma imagem no lado do invasor por meio de um aplicativo Flask, abrindo a porta para uma possível exploração subsequente.