Apple Shortcuts安全漏洞(CVE-2024-23204)允許攻擊者訪問目標設備并竊取敏感數據,官方敦促立即更新您的設備!



網絡安全公司Bitdefender在Apple Shortcuts中發現了一個嚴重等級為7.5/10的漏洞,該漏洞允許攻擊者在不提示用戶的情況下訪問敏感數據。根據Bitdefender于2024年2月22日發布的博客文章,該漏洞被追蹤為CVE-2024-23204,允許攻擊者繞過Apple的macOS和iOS安全框架創建快捷方式文件。


Apple Shortcuts是一款流行的macOS和iOS自動化應用程序,它允許用戶使用可視化編程創建個性化工作流程,以自動執行應用程序控制、媒體管理、消息傳遞、基于位置的操作等任務,從而簡化任務。用戶可以創建文件管理、健康跟蹤、網絡自動化、教育和智能家居集成的工作流程,從而提高生產力和用戶體驗。


該漏洞是在蘋果快捷方式社區的快捷方式共享/擴展機制中發現的。該社區允許用戶發現和加快自動化工作流程以及導出/共享快捷方式。


另一方面,CVE-2024-23204允許用戶在不知不覺中導入可能利用macOS和iOS中的透明、同意和控制(TCC)安全框架的快捷方式。該框架通過在訪問敏感數據或功能之前要求明確的許可來幫助確保用戶隱私和安全。


正如研究人員在其博客文章中指出的那樣,在攻擊過程中,“快捷方式”中的“擴展 URL”功能使攻擊者可以將Base64編碼的照片數據傳輸到惡意網站。這涉及選擇敏感數據、導入它、使用Base64編碼選項對其進行轉換,并將其轉發到服務器。Flask程序捕獲傳輸的數據,允許攻擊者存儲它以供利用。該問題已在macOS Sonoma 14.3、watchOS 10.3、iOS 17.3和iPadOS 17.3中修復。


盡管如此,鑒于蘋果快捷方式應用程序存在侵犯隱私的可能性,它仍然強調需要對蘋果的快捷方式應用程序保持持續的安全警惕。建議用戶使用最新的軟件。建議用戶更新macOS、iPadOS和watchOS設備,在執行來自不受信任來源的快捷方式時保持謹慎,并定期檢查Apple安全更新和補丁。


最近,蘋果應用程序和設備中發現的缺陷數量不斷增加,有效地打破了蘋果產品在保護用戶數據方面最可靠的神話。去年,蘋果修復的漏洞數量創歷史新高。


2023年7月,由于Safari WebKit瀏覽器引擎存在軟件漏洞,蘋果向iPhone、iPad和Mac用戶發布了嚴重安全警報,敦促他們盡快更新設備。


2023年10月,佐治亞理工學院、密歇根大學和波鴻魯爾大學的研究人員發現了蘋果設備中的iLeakage漏洞,自2020年以來一直影響著Mac和iPhone。該攻擊利用了CPU中的旁路漏洞,使得Safari能夠泄露敏感數據,包括密碼和Gmail內容。


2023年12月,藍牙漏洞CVE-2023-45866允許攻擊者在未經用戶確認的情況下控制Android、Linux、macOS和iOS設備,以安裝惡意應用程序、運行命令和執行未經授權的操作。


同月,蘋果發布了安全更新,以解決兩個零日漏洞CVE-2023-42916和CVE-2023-42917,該漏洞允許黑客通過惡意網頁執行代碼并訪問受感染設備上的敏感數據。

安全漏洞 數據泄露 網絡安全
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接