O vulnerabilitate din Apple Shortcuts, care permitea transmiterea de date sensibile către atacatori, a fost corectată în iOS 17.3.
Exploatarea a fost observată de Bitdefender, care a prezentat problema. Aceasta a obținut un scor de vulnerabilitate comun (scor CVSS) de 7,5 din 10, ceea ce înseamnă că este o vulnerabilitate de gravitate ridicată. Bitdefender a dezvăluit problema către Apple, care a emis un patch în iOS 17.3 luna trecută.
Shortcuts este un instrument de automatizare care funcționează pe dispozitive macOS și iOS. Acesta le permite oamenilor să creeze fluxuri de lucru care simplifică sarcinile, de la crearea de GIF-uri și combinarea fotografiilor de pe iPhone la automatizarea funcțiilor favorite ale Tesla.
Cu toate acestea, Shortcuts este legat de anumite reguli stabilite de Apple. De exemplu, toate acestea ar trebui să adere la Transparency, Consent, and Control (TCC) de la Apple, un cadru de securitate care „guvernează accesul aplicațiilor la datele sensibile ale utilizatorilor și la resursele de sistem”, precizează Bitdefender. Astfel, în timp ce Shortcuts poate face o mulțime de lucruri, există controale pentru a vă păstra intactă confidențialitatea.
Scurtăturile malițioase foloseau funcția „Expand URL” pentru a ocoli TCC al Apple, permițând terților să transmită date către site-uri web malițioase. Aceste Shortcut-uri corupte puteau fura fotografii, contacte, date din clipboard și alte fișiere. Apoi, codificau datele în base64 și le încărcau pe un site web unde puteau fi copiate și furate. (Videoclipul YouTube de mai sus arată cum arată exploatarea pentru utilizatorul final și pentru atacator).
După cum relatează AppleInsider, comenzile rapide malițioase ar putea fi partajate între utilizatori prin intermediul unui link, ceea ce ar putea duce la o infecție pe scară largă. Scurtăturile pot conține sute de acțiuni, ceea ce ar face ca o scurtătură malițioasă să fie dificil de identificat pentru majoritatea utilizatorilor.
Din fericire, problema este destul de ușor de evitat. Apple a remediat exploit-ul în cele mai recente versiuni ale iOS 17.3 și macOS Sonoma 14.3. Așadar, asigurați-vă că vă actualizați toate dispozitivele.