CVE-2024-23204 Уязвимость ярлыков Apple

Появилась информация о ранее исправленной уязвимости безопасности высокой степени серьезности в приложении Apple Shortcuts, которая может позволить использовать ярлык для доступа к конфиденциальным данным устройства без согласия пользователя.

Уязвимость безопасности, обозначенная как CVE-2024-23204 с оценкой CVSS 7,5, была устранена Apple 22 января 2024 года посредством выпуска iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 и watchOS 10.3.

Apple объяснила в сообщении, что ярлык мог использовать конфиденциальные данные без запроса пользователя, и это было исправлено путем реализации «дополнительных проверок разрешений».

Приложение «Ярлыки» — это инструмент создания сценариев, который позволяет пользователям создавать собственные рабочие процессы на iOS, iPadOS, macOS и watchOS. В этих операционных системах он предустановлен.

Уязвимость таит в себе серьезный вредоносный потенциал

Исследователи подчеркнули потенциальную возможность использования уязвимости в качестве оружия для создания вредоносного ярлыка, способного обойти политику прозрачности, согласия и контроля (TCC). TCC — это платформа безопасности Apple, предназначенная для защиты пользовательских данных путем требования соответствующих разрешений.

Уязвимость конкретно связана с быстрым действием под названием «Расширить URL-адрес», которое может расширять и очищать сокращенные URL-адреса таких сервисов, как t.co или bit.ly, а также удалять параметры отслеживания UTM.

Используя эту функцию, стало возможным передавать данные фотографии в кодировке Base64 на вредоносный веб-сайт. Этот метод включает в себя выбор конфиденциальных данных (таких как фотографии, контакты, файлы и данные буфера обмена) в ярлыках, их импорт, преобразование с использованием параметра кодирования base64 и, в конечном итоге, отправку на вредоносный сервер.

Украденные данные затем фиксируются и сохраняются в виде изображения на стороне злоумышленника с помощью приложения Flask, открывая возможности для возможной последующей эксплуатации.