Detalhes surgiram sobre uma falha de segurança de alta gravidade, agora corrigida, no aplicativo Atalhos da Apple que poderia permitir que um atalho acessasse informações sensíveis no dispositivo sem o consentimento dos usuários.
A vulnerabilidade, rastreada como
CVE-2024-23204
(pontuação CVSS: 7,5), foi corrigida pela Apple em 22 de janeiro de 2024, com o lançamento do iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 e watchOS 10.3.
"Um atalho pode ser capaz de usar dados sensíveis com certas ações sem solicitar o usuário", disse o fabricante do iPhone em um comunicado, afirmando que foi corrigido com "verificações de permissões adicionais".
Atalhos da Apple é um aplicativo de script que permite aos usuários criar fluxos de trabalho personalizados (também conhecidos como macros) para executar tarefas específicas em seus dispositivos.
Ele é instalado por padrão nos sistemas operacionais iOS, iPadOS, macOS e watchOS.
O pesquisador de segurança da Bitdefender, Jubaer Alnazi Jabin, que descobriu e relatou o bug dos atalhos, disse que ele poderia ser usado para criar um atalho malicioso que pode ignorar as políticas de Transparência, Consentimento e Controle (TCC).
TCC é uma estrutura de segurança da Apple projetada para proteger os dados do usuário contra acesso não autorizado sem solicitar as permissões apropriadas em primeiro lugar.
Especificamente, a falha está enraizada em uma ação de atalho chamada "Expandir URL", que é capaz de expandir e limpar URLs que foram encurtados usando um serviço de encurtamento de URL como t.co ou bit.ly, enquanto também remove os parâmetros de rastreamento UTM.
"Ao aproveitar essa funcionalidade, tornou-se possível transmitir os dados codificados em Base64 de uma foto para um site malicioso", explicou Alnazi Jabin.
"O método envolve selecionar qualquer dado sensível (Fotos, Contatos, Arquivos e dados da área de transferência) dentro dos atalhos, importá-lo, convertê-lo usando a opção de codificação base64 e, finalmente, encaminhá-lo para o servidor malicioso."
Os dados exfiltrados são então capturados e salvos como uma imagem na extremidade do atacante usando um aplicativo Flask, abrindo caminho para a exploração subsequente.
"Os atalhos podem ser exportados e compartilhados entre os usuários, uma prática comum na comunidade de Atalhos", disse o pesquisador.
"Esse mecanismo de compartilhamento estende o alcance potencial da vulnerabilidade, pois os usuários importam sem saber atalhos que podem explorar o
CVE-2024-23204
."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...