یک آسیبپذیری مهم در برنامه Shortcuts شرکت اپل کشف شده است که به مهاجمان اجازه میدهد بدون اجازه کاربر به اطلاعات محرمانه یک دستگاه دسترسی پیدا کنند. برنامه Shortcuts که برای macOS و iOS در دسترس قرار دارد ابزاری برای خودکارسازی وظایف است. این ابزار به کاربر امکان ایجاد ماکروهایی برای وظایف خاص میدهد. شرکت Bitdefender یک آسیبپذیری با شناسه CVE-2024-23204 و شدت 7.5 در این ابزار کشف نموده است. آسیبپذیری مذکور اجازه ایجاد فایلهای Shortcut را میدهد که میتوانند چارچوب امنیتی TCC اپل را دور بزنند. این چارچوب برای این منظور طراحی شده که برنامههای کاربردی قبل از دسترسی به برخی دادهها یا عملکردها از کاربر اجازه بگیرند. در این آسیبپذیری اگر کاربر یک shortcut مخرب را به کتابخانه خود اضافه کند، میتواند اطلاعات حساس را بدون نیاز به اجازه کاربر سرقت کند. محققان Bitdefender یک اکسپلویت POC نمایش دادهاند که امکان استخراج داده از یک عکس را فراهم میکند. دلیل اهمیت این آسیبپذیری استفاده زیاد از ابزار Shortcuts جهت مدیریت وظایف میباشد. احتمال توزیع Shortcutهای مخرب یک تهدید جدی محسوب میشود.
محصولات تحت تاثیر
دستگاهها با macOS Sonoma 14.3، watchOS 10.3،iOS 17.3 و iPadOS 17.3 (و نسخههای قبلتر) تحت تأثیر این آسیبپذیری قرار دارند.
توصیههای امنیتی
• دستگاه macOS، ipadOS یا watchOS خود را به آخرین نسخه بهروزرسانی نمایید.
• هنگام اجرای shortcut ها از منابع ناشناس، آن را به دقت بررسی نمایید.
• به طور منظم بهروزرسانیهای امنیتی دستگاه اپل خود را چک نمایید.
منابع خبر:
[1] https://vulnera.com/newswire/apple-shortcuts-zero-click-vulnerability-enables-covert-data-theft
[2] https://www.bitdefender.com/blog/labs/details-on-apples-shortcuts-vulnerability-a-deep-dive-into-cv…
[3] https://nvd.nist.gov/vuln/detail/CVE-2024-23204
- 22