Atacantes poderiam utilizar uma vulnerabilidade do macOS recentemente corrigida para driblar as verificações de segurança do Transparency, Consent, and Control (TCC) e roubar informações sensíveis do usuário, incluindo dados armazenados em cache pela Apple Intelligence.
TCC é uma tecnologia de segurança e um framework de privacidade que impede aplicativos de acessarem dados privados do usuário, fornecendo ao macOS controle sobre como seus dados são acessados e usados por aplicativos em dispositivos Apple.
A Apple corrigiu a falha de segurança rastreada como
CVE-2025-31199
(reportada por Jonathan Bar Or, Alexia Wilson e Christine Fossaceca da Microsoft) em patches lançados em março para o macOS Sequoia 15.4 com "melhoria na redação de dados".
Enquanto a Apple restringe o acesso ao TCC apenas para apps com acesso total ao disco e bloqueia automaticamente a execução de código não autorizado, pesquisadores de segurança da Microsoft descobriram que atacantes poderiam usar o acesso privilegiado de plugins do Spotlight para acessar arquivos sensíveis e roubar seu conteúdo.
Eles mostraram em um relatório publicado hoje que a vulnerabilidade (nomeada Sploitlight e descrita pela Apple como um "problema de log") poderia ser explorada para colher dados valiosos, incluindo informações relacionadas à Apple Intelligence e informações remotas de outros dispositivos vinculados à mesma conta iCloud.
Isso inclui, mas não se limita a, metadados de fotos e vídeos, dados precisos de geolocalização, dados de reconhecimento de rosto e pessoa, contexto de atividade do usuário e eventos, álbuns de fotos e bibliotecas compartilhadas, histórico de pesquisa e preferências do usuário, bem como fotos e vídeos excluídos.
Desde 2020, a Apple corrigiu outros bypasses do TCC que exploram montagens do Time Machine (
CVE-2020-9771
), envenenamento de variável de ambiente (
CVE-2020-9934
) e um problema de conclusão de bundle (CVE-2021-30713).
No passado, pesquisadores de segurança da Microsoft também descobriram vários outros bypasses do TCC, incluindo powerdir (
CVE-2021-30970
) e HM-Surf, que também poderiam ser abusados para obter acesso a dados privados dos usuários.
"Embora semelhante a bypasses anteriores do TCC como HM-Surf e powerdir, as implicações desta vulnerabilidade, que nos referimos como 'Sploitlight' por seu uso de plugins do Spotlight, são mais graves devido à sua capacidade de extrair e vazar informações sensíveis armazenadas em cache pela Apple Intelligence, como dados precisos de geolocalização, metadados de fotos e vídeos, dados de reconhecimento de rosto e pessoa, histórico de pesquisa e preferências do usuário e mais," disse a Microsoft.
Esses riscos são ainda mais complicados e intensificados pela capacidade de link remoto entre contas iCloud, significando que um atacante com acesso a um dispositivo macOS do usuário também poderia explorar a vulnerabilidade para determinar informações remotas de outros dispositivos vinculados à mesma conta iCloud.
Nos últimos anos, pesquisadores de segurança da Microsoft encontraram várias outras graves vulnerabilidades do macOS, incluindo um bypass do SIP apelidado de 'Shrootless' (
CVE-2021-30892
), reportado em 2021, que permite aos atacantes instalar rootkits em Macs comprometidos.
Mais recentemente, eles descobriram um bypass do SIP denominado 'Migraine' (
CVE-2023-32369
) e uma falha de segurança chamada Achilles(
CVE-2022-42821
), a qual pode ser explorada para instalar malware usando apps não confiáveis que burlam as restrições de execução do Gatekeeper.
No ano passado, eles reportaram outra falha de bypass do SIP (
CVE-2024-44243
) que permite a atores de ameaças implantar drivers de kernel maliciosos carregando extensões de kernel de terceiros.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...