CVE-2024-23204 פגיעות קיצורי הדרך של אפל

חוקרי אבטחה חשפו פרטים בנוגע לליקוי אבטחה משמעותי באפליקציית קיצורי הדרך של אפל, המהווים סיכון בחומרה גבוהה. פגם זה יכול לאפשר קיצור דרך לגישה למידע רגיש במכשיר מבלי לקבל את הסכמת המשתמש. לפגיעות, שזוהתה כ-CVE-2024-23204, יש ציון CVSS של 7.5 מתוך 10. אפל טיפלה בפגיעות הספציפית הזו ב-22 בינואר 2024, באמצעות שחרור iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3. ו-watchOS 10.3.

תחת CVE-2024-23204, קיצור דרך יכול להשתמש בנתונים רגישים לפעולות ספציפיות ללא צורך בהרשאת משתמש. אפל אישרה שהבעיה נפתרה על ידי יישום 'בדיקות הרשאות נוספות' בעדכוני התוכנה שהוזכרו.

פרטים על אפליקציית קיצורי הדרך של אפל

קיצורי הדרך של אפל משרתים מטרות מגוונות המאפשרות למשתמשים לייעל משימות ללא מאמץ במכשירי macOS ו-iOS. כלי זה מקל על אוטומציה של פעולות רבות, הכוללות משימות אפליקציה מהירות, בקרת מכשירים, ניהול מדיה, העברת הודעות ופעילויות מבוססות מיקום. משתמשים יכולים ליצור זרימות עבודה מותאמות לניהול קבצים, מעקב אחר בריאות וכושר, אוטומציה באינטרנט, מטרות חינוכיות ואפילו אינטגרציה חלקה עם מכשירי בית חכם.

חוקרי ה-infosec שדיווחו על באג קיצורי הדרך אישרו כי ניתן להשתמש בו כדי ליצור קיצור דרך זדוני כך שיוכל לעקוף את מדיניות השקיפות, הסכמה ובקרה (TCC). TCC היא מסגרת אבטחה של אפל שנועדה להגן על נתוני משתמשים מפני גישה לא מורשית מבלי לבקש הרשאות מתאימות מלכתחילה.

CVE-2024-23204 מאפשר חילוץ נתונים

פגיעות האבטחה שזוהתה כ-CVE-2024-23204 מקורה בפעולת קיצור ספציפית בשם 'הרחב כתובת URL'. פעולה זו נועדה להרחיב ולנקות כתובות URL מקוצרות באמצעות שירותים כמו t.co או bit.ly, תוך ביטול פרמטרי מעקב של UTM. ניצול תכונה זו מאפשר העברת נתונים מקודדים ב-Base64 מתמונה לאתר זדוני.

הטכניקה כוללת בחירת נתונים רגישים (כגון תמונות, אנשי קשר, קבצים ונתוני לוח) בתוך קיצורי דרך, ייבואם, המרתם באמצעות אפשרות הקידוד base64, ולאחר מכן העברתם לשרת שנפרץ. לאחר מכן, הנתונים שנגנבו נלכדים ומאוחסנים כתמונה בקצה התוקף באמצעות אפליקציית Flask, מה שמכין את הבמה לניצול פוטנציאלי בהמשך.

מכיוון שניתן לייצא קיצורי דרך ולשתף אותם בין משתמשים, נוהג נפוץ בקהילת קיצורי הדרך, מנגנון שיתוף זה מרחיב את טווח ההגעה הפוטנציאלי של הפגיעות. משתמשים עלולים לייבא שלא ביודעין קיצורי דרך המנצלים את CVE-2024-23204, מה שמגביר את הסיכון לניצול.

אמצעים לצמצום ההשפעה של פגיעויות כמו CVE-2024-23204

כדי לשפר את ההגנה מפני הפגיעויות שזוהו, מומלץ מאוד למשתמשים לנקוט באמצעים הבאים:

עדכן מערכות הפעלה : ודא שמכשירי macOS, iPadOS ו-watchOS פועלים עם גרסאות התוכנה העדכניות ביותר. עדכון קבוע של מערכת ההפעלה הוא חיוני מכיוון שהוא כולל לעתים קרובות תיקונים ושיפורי אבטחה המטפלים בפגיעויות פוטנציאליות.

היזהר עם קיצורי דרך : היזהר בעת ביצוע קיצורי דרך, במיוחד אלה המתקבלים ממקורות לא מהימנים. על המשתמשים לבחון את המקור והתוכן של קיצורי דרך לפני שהם מריצים אותם כדי למזער את הסיכון של חשיפת המכשירים שלהם לאיומי אבטחה בשוגג.

בדוק בקביעות אם יש עדכונים : הישאר ערני על ידי בדיקה קבועה של עדכוני אבטחה ותיקונים שמסופקים על ידי אפל. שמירה על עדכון המכשיר במהדורות האבטחה האחרונות היא בסיסית בשמירה על הגנה חזקה מפני ניצולים ופגיעויות פוטנציאליות.

על ידי הקפדה על שיטות עבודה מומלצות אלו, המשתמשים עשויים לחזק משמעותית את תנוחת האבטחה של המכשירים שלהם ולהפחית את הסבירות ליפול קורבן לפגיעות שזוהתה.