Apple’ın Kısayollar uygulamasında, kullanıcıların izni olmadan cihazdaki hassas bilgilere bir kısayolun erişmesine izin verebilecek, artık yamalanmış yüksek önemdeki bir güvenlik açığı hakkında ayrıntılar ortaya çıktı.
Şu şekilde izlenen güvenlik açığı: CVE-2024-23204 (CVSS puanı: 7,5), Apple tarafından 22 Ocak 2024’te şu sürümün yayınlanmasıyla ele alınmıştır: iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3Ve watchOS 10.3.
iPhone üreticisi, bir danışma belgesinde “Bir kısayol, hassas verileri kullanıcıya sormadan belirli eylemlerle kullanabilir” dedi ve bunun “ek izin kontrolleri” ile düzeltildiğini belirtti.
Apple Kısayolları bir komut dosyası uygulaması kullanıcıların kişiselleştirilmiş iş akışları (diğer adıyla makrolar) oluşturmasına olanak tanır. yürütme özel görevler cihazlarında. iOS, iPadOS, macOS ve watchOS işletim sistemlerinde varsayılan olarak yüklü olarak gelir.
Kısayollar hatasını keşfeden ve bildiren Bitdefender güvenlik araştırmacısı Jubaer Alnazi Jabin, bunun Şeffaflığı, Rızayı ve Kontrolü atlayabilecek kötü amaçlı bir kısayol oluşturmak için silah haline getirilebileceğini söyledi (TTK) politikalar.
TCC, kullanıcı verilerini ilk etapta uygun izinler istenmeden yetkisiz erişime karşı korumak için tasarlanmış bir Apple güvenlik çerçevesidir.
Özellikle kusurun kökeni, t.co veya bit.ly gibi bir URL kısaltma hizmeti kullanılarak kısaltılmış URL’leri genişletip temizleyebilen ve aynı zamanda URL’yi de kaldırabilen “URL’yi Genişlet” adı verilen bir kısayol eyleminden kaynaklanmaktadır. UTM izleme parametreleri.
Alnazi Jabin, “Bu işlevsellikten yararlanılarak, bir fotoğrafın Base64 kodlu verilerinin kötü amaçlı bir web sitesine aktarılması mümkün hale geldi.” açıkladı.
“Bu yöntem, Kısayollar’daki hassas verileri (Fotoğraflar, Kişiler, Dosyalar ve pano verileri) seçmeyi, içe aktarmayı, base64 kodlama seçeneğini kullanarak dönüştürmeyi ve sonuçta kötü amaçlı sunucuya iletmeyi içeriyor.”
Sızdırılan veriler daha sonra yakalanıp saldırganın tarafında bir Flask uygulaması kullanılarak bir görüntü olarak kaydediliyor ve böylece daha sonraki istismarların yolu açılıyor.
Araştırmacı, “Kısayollar dışa aktarılabilir ve kullanıcılar arasında paylaşılabilir; bu, Kısayollar topluluğunda yaygın bir uygulamadır” dedi. “Kullanıcılar bilmeden CVE-2024-23204’ten yararlanabilecek kısayolları içe aktardığından, bu paylaşım mekanizması güvenlik açığının potansiyel erişim alanını genişletiyor.”