Des détails ont été révélés sur une faille de sécurité de haute gravité désormais corrigée dans l’application Raccourcis d’Apple, qui pourrait permettre à un raccourci d’accéder à des informations sensibles sur l’appareil sans le consentement des utilisateurs.
La vulnérabilité, suivie comme CVE-2024-23204 (score CVSS : 7,5), a été résolu par Apple le 22 janvier 2024, avec la sortie de iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3et montreOS 10.3.
« Un raccourci peut permettre d’utiliser des données sensibles avec certaines actions sans que l’utilisateur n’en soit informé », a déclaré le fabricant de l’iPhone dans un avis, précisant que le problème avait été corrigé par « des vérifications d’autorisations supplémentaires ».
Les raccourcis Apple sont un application de script qui permet aux utilisateurs de créer des flux de travail personnalisés (alias macros) pour exécution tâches spécifiques sur leurs appareils. Il est installé par défaut sur les systèmes d’exploitation iOS, iPadOS, macOS et watchOS.
Jubaer Alnazi Jabin, chercheur en sécurité chez Bitdefender, qui a découvert et signalé le bug des raccourcis, a déclaré qu’il pourrait être utilisé pour créer un raccourci malveillant de manière à contourner la transparence, le consentement et le contrôle (CTC) Stratégies.
TCC est un cadre de sécurité Apple conçu pour protéger les données des utilisateurs contre tout accès non autorisé sans demander les autorisations appropriées au préalable.
Plus précisément, la faille est enracinée dans une action de raccourci appelée « Développer l’URL », qui est capable d’étendre et de nettoyer les URL qui ont été raccourcies à l’aide d’un service de raccourcissement d’URL comme t.co ou bit.ly, tout en supprimant également Paramètres de suivi UTM.
« En exploitant cette fonctionnalité, il est devenu possible de transmettre les données d’une photo codées en Base64 à un site Web malveillant », Alnazi Jabin expliqué.
« La méthode consiste à sélectionner toutes les données sensibles (photos, contacts, fichiers et données du presse-papiers) dans les raccourcis, à les importer, à les convertir à l’aide de l’option d’encodage base64 et, finalement, à les transmettre au serveur malveillant. »
Les données exfiltrées sont ensuite capturées et enregistrées sous forme d’image du côté de l’attaquant à l’aide d’une application Flask, ouvrant la voie à une exploitation ultérieure.
« Les raccourcis peuvent être exportés et partagés entre les utilisateurs, une pratique courante dans la communauté des raccourcis », a déclaré le chercheur. « Ce mécanisme de partage étend la portée potentielle de la vulnérabilité, car les utilisateurs importent sans le savoir des raccourcis susceptibles d’exploiter CVE-2024-23204. »