Zero-Click в мире Apple: «быстрые команды» приводят к «быстрому взлому»

В мире технологий обнаружена новая угроза, затрагивающая пользователей продукции Apple. На этот раз уязвимость касается приложения «Быстрые команды» (Shortcuts) — инструмента для создания пользовательских автоматизированных задач, который встроен в операционные системы iOS, iPadOS, macOS и watchOS.

Проблема, получившая идентификатор CVE-2024-23204 и оценку серьёзности 7.5 балла по шкале CVSS, позволяет с помощью ярлыка получить доступ к конфиденциальной информации на целевом устройстве без согласия пользователя.

Уязвимость была обнаружена специалистом безопасности из Bitdefender по имени Джубаер Альнази Джабин. Он выявил, что злоумышленники могут создать вредоносный макрос в приложении Shortcuts, который обходит политику TCC — фреймворка безопасности Apple, предназначенного для защиты данных пользователей от неавторизованного доступа.

В основе проблемы лежит функция «Expand URL» в приложении Shortcuts. Она предназначена для расширения сокращённых URL-адресов, таких как «t.co» или «bit.ly», и удаления параметров отслеживания UTM. Используя этот функционал, злоумышленники способны передавать любые файлы пользователя, закодированные в Base64, на подконтрольный вредоносный сайт.

Альнази Джабин объяснил: «Метод включает в себя выбор любых конфиденциальных данных (фотографий, контактов, файлов и данных буфера обмена) в приложении Shortcuts, их импорт, преобразование с использованием опции кодирования base64 и, в конечном итоге, пересылку на вредоносный сервер».

Эксплуатация уязвимости представляет серьёзную угрозу, поскольку приложение Shortcuts позволяет пользователям экспортировать и делиться созданными макросами, что существенно расширяет потенциал атак.

Apple оперативно отреагировала на ситуацию, выпустив обновления для своих операционных систем 22 января 2024 года. В версиях iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 и watchOS 10.3 была внедрена защита от данной угрозы. Подробности были раскрыты лишь месяц спустя, чтобы как можно большее число пользователей успело обновиться до безопасной версии ОС.

Если вы по какой-то причине до сих пор не обновили своё устройство, сделать это нужно незамедлительно, чтобы избежать потенциальной эксплуатации CVE-2024-23204.