WebTech Rodos: Μια ευπάθεια στις Συντομεύσεις (Shortcuts) της Apple, η οποία επέτρεπε τη μετάδοση ευαίσθητων δεδομένων σε επιτιθέμενους, επιδιορθώθηκε στο iOS 17.3.
Το exploit εντοπίστηκε από την Bitdefender, η οποία περιέγραψε το ζήτημα σήμερα. Πήρε βαθμολογία CVSS (Common Vulnerability Score) 7.5 στα 10, που σημαίνει ότι επρόκειτο για ευπάθεια υψηλής σοβαρότητας. Η Bitdefender αποκάλυψε το ζήτημα στην Apple, η οποία εξέδωσε ένα patch στο iOS 17.3 τον περασμένο μήνα.
Οι Συντομεύσεις είναι ένα εργαλείο αυτοματισμού που λειτουργεί σε συσκευές macOS και iOS. Επιτρέπει στους ανθρώπους να δημιουργούν ροές εργασίας που βελτιστοποιούν εργασίες, από τη δημιουργία GIF και τον συνδυασμό φωτογραφιών iPhone μέχρι την αυτοματοποίηση αγαπημένων λειτουργιών των οχημάτων της Tesla.
Ωστόσο, οι Συντομεύσεις δεσμεύονται από ορισμένους κανόνες που έχει θέσει η Apple. Για παράδειγμα, υποτίθεται ότι όλες πρέπει να συμμορφώνονται με το Transparency, Consent, and Control (TCC) της Apple, ένα πλαίσιο ασφαλείας που “ρυθμίζει την πρόσβαση σε ευαίσθητα δεδομένα χρήστη και πόρους συστήματος από τις εφαρμογές”, αναφέρει η Bitdefender. Έτσι, ενώ οι Συντομεύσεις μπορούν να κάνουν πολλά πράγματα, υπάρχουν έλεγχοι για να διατηρηθεί η ιδιωτικότητά σας ανέπαφη.
.
Τα κακόβουλα Shortcuts χρησιμοποίησαν τη λειτουργία “Expand URL” για να παρακάμψουν το TCC της Apple, καθιστώντας δυνατή τη μετάδοση δεδομένων από τρίτους σε κακόβουλους ιστότοπους. Αυτά τα κατεστραμμένα Shortcuts θα μπορούσαν να κλέψουν φωτογραφίες, επαφές, δεδομένα του πρόχειρου και άλλα αρχεία. Στη συνέχεια, θα κωδικοποιούσε τα δεδομένα σε base64 και θα τα ανέβαζε σε έναν ιστότοπο όπου θα μπορούσαν να αντιγραφούν και να κλαπούν. (Το παραπάνω βίντεο στο YouTube δείχνει πώς φαίνεται η εκμετάλλευση στον τελικό χρήστη και στον επιτιθέμενο).
Όπως αναφέρει το AppleInsider, οι κακόβουλες Συντομεύσεις θα μπορούσαν να διαμοιραστούν μεταξύ των χρηστών μέσω ενός συνδέσμου, οδηγώντας ενδεχομένως σε μια ευρεία μόλυνση. Οι Συντομεύσεις μπορούν να περιέχουν εκατοντάδες ενέργειες, γεγονός που θα καθιστούσε δύσκολη την αναγνώριση μιας κακόβουλης Συντόμευσης για την πλειονότητα των χρηστών.
Ευτυχώς, το ζήτημα είναι αρκετά εύκολο να αποφευχθεί. Η Apple επιδιόρθωσε το exploit στις τελευταίες εκδόσεις του iOS 17.3 και του macOS Sonoma 14.3. Φροντίστε λοιπόν να ενημερώσετε όλες τις συσκευές σας.
πηγή: pcmag.com