Han surgido detalles sobre una falla de seguridad de alta gravedad ahora parcheada en la aplicación Atajos de Apple que podría permitir un atajo para acceder a información confidencial en el dispositivo sin el consentimiento de los usuarios.
La vulnerabilidad, rastreada como CVE-2024-23204 (puntuación CVSS: 7,5), fue abordado por Apple el 22 de enero de 2024, con el lanzamiento de iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3y relojOS 10.3.
“Un acceso directo puede utilizar datos confidenciales con ciertas acciones sin avisar al usuario”, dijo el fabricante del iPhone en un aviso, afirmando que se solucionó con “verificaciones de permisos adicionales”.
Atajos de Apple es un aplicación de secuencias de comandos que permite a los usuarios crear flujos de trabajo personalizados (también conocidos como macros) para ejecutando Tareas específicas en sus dispositivos. Viene instalado de forma predeterminada en los sistemas operativos iOS, iPadOS, macOS y watchOS.
El investigador de seguridad de Bitdefender, Jubaer Alnazi Jabin, quien descubrió y reportó el error de accesos directos, dijo que podría usarse como arma para crear un acceso directo malicioso que pueda eludir la transparencia, el consentimiento y el control (TCC) políticas.
TCC es un marco de seguridad de Apple diseñado para proteger los datos del usuario del acceso no autorizado sin solicitar los permisos adecuados en primer lugar.
Específicamente, la falla tiene su origen en una acción de acceso directo llamada “Expandir URL”, que es capaz de expandir y limpiar URL que se han acortado usando un servicio de acortamiento de URL como t.co o bit.ly, al mismo tiempo que elimina Parámetros de seguimiento UTM.
“Al aprovechar esta funcionalidad, fue posible transmitir los datos codificados en Base64 de una foto a un sitio web malicioso”, Alnazi Jabin explicado.
“El método implica seleccionar datos confidenciales (fotos, contactos, archivos y datos del portapapeles) dentro de los accesos directos, importarlos, convertirlos usando la opción de codificación base64 y, finalmente, reenviarlos al servidor malicioso”.
Los datos exfiltrados luego se capturan y guardan como una imagen por parte del atacante utilizando una aplicación Flask, allanando el camino para una explotación posterior.
“Los atajos se pueden exportar y compartir entre los usuarios, una práctica común en la comunidad de atajos”, dijo el investigador. “Este mecanismo de intercambio amplía el alcance potencial de la vulnerabilidad, ya que los usuarios, sin saberlo, importan accesos directos que podrían explotar CVE-2024-23204”.