В системно приложение на Apple е открита сериозна уязвимост, позволяваща кражба на данни
В известното приложение „ Shortcuts/Команди “ на Apple е открита накърнимост, означена като CVE-2024-23204. Тя може да разреши на хакери да получат достъп до чувствителни данни на устройства с macOS, iOS и iPadOS без никакво присъединяване на потребителя.
Приложението Shortcuts е налично за macOS, iOS и iPadOS. То е предопределено за автоматизиране на процесори посредством основаване на шаблони с последователности от разнообразни дейности. Включително експортиране на данни в iCloud и други платформи.
Bitdefender разгласява информация за уязвимостта, която разрешава основаването на злонамерени скриптови файлове за приложението, с цел да се заобиколи системата за сигурност (Transparency, Consent, and Control) на Apple, която е предопределена да подсигурява, че приложенията категорично ще желаят позволение от потребителите за достъп до избрани данни или функционалности.
Чрез прибавянето на подобен файл в библиотеката на жертвата хакер може неусетно да открадне чувствителни данни и систематична информация, без да желае позволение от потребителя.
Уязвимостта е налична в платформи до macOS Sonoma 14.3, iOS 17.3 и iPadOS 17.3. Тя е оценена със 7,5 от 10 вероятни точки, защото може да бъде употребена отдалечено без никакви привилегии.
Apple към този момент е отстранила уязвимостта в настоящите версии на операционната система. Експертите по киберсигурност предлагат да актуализирате приложението до най-новата му версия.
Вижте уязвимостта в деяние:
