CVE-2024-23204 Apple की शॉर्टकट भेद्यता

सुरक्षा शोधकर्ताओं ने ऐप्पल के शॉर्टकट एप्लिकेशन में एक महत्वपूर्ण सुरक्षा दोष के बारे में विवरण प्रकट किया है, जो उच्च-गंभीर जोखिम पैदा करता है। यह दोष उपयोगकर्ता की सहमति प्राप्त किए बिना डिवाइस पर संवेदनशील जानकारी तक पहुंचने के लिए शॉर्टकट को सक्षम कर सकता है। CVE-2024-23204 के रूप में पहचानी जाने वाली भेद्यता का CVSS स्कोर 10 में से 7.5 है। Apple ने 22 जनवरी, 2024 को iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 की रिलीज़ के माध्यम से इस विशेष भेद्यता को संबोधित किया। और वॉचओएस 10.3।

सीवीई-2024-23204 के तहत, एक शॉर्टकट उपयोगकर्ता प्राधिकरण की आवश्यकता के बिना विशिष्ट कार्यों के लिए संवेदनशील डेटा का उपयोग कर सकता है। Apple ने पुष्टि की है कि उल्लिखित सॉफ़्टवेयर अपडेट में 'अतिरिक्त अनुमति जाँच' लागू करके समस्या का समाधान किया गया था।

Apple शॉर्टकट एप्लिकेशन के बारे में विवरण

Apple शॉर्टकट विविध उद्देश्यों की पूर्ति करते हैं जो उपयोगकर्ताओं को macOS और iOS उपकरणों पर कार्यों को सहजता से सुव्यवस्थित करने की अनुमति देते हैं। यह टूल त्वरित ऐप कार्यों, डिवाइस नियंत्रण, मीडिया प्रबंधन, मैसेजिंग और स्थान-आधारित गतिविधियों सहित कई कार्यों के स्वचालन की सुविधा प्रदान करता है। उपयोगकर्ता फ़ाइल प्रबंधन, स्वास्थ्य और फिटनेस ट्रैकिंग, वेब स्वचालन, शैक्षिक उद्देश्यों और यहां तक कि स्मार्ट घरेलू उपकरणों के साथ सहज एकीकरण के लिए तैयार वर्कफ़्लो तैयार कर सकते हैं।

शॉर्टकट बग की रिपोर्ट करने वाले इन्फोसेक शोधकर्ताओं ने पुष्टि की है कि इसे एक दुर्भावनापूर्ण शॉर्टकट बनाने के लिए हथियार बनाया जा सकता है ताकि यह पारदर्शिता, सहमति और नियंत्रण (टीसीसी) नीतियों को बायपास कर सके। TCC एक Apple सुरक्षा ढाँचा है जिसे पहली बार उचित अनुमति के अनुरोध के बिना उपयोगकर्ता डेटा को अनधिकृत पहुँच से बचाने के लिए डिज़ाइन किया गया है।

सीवीई-2024-23204 डेटा के निष्कासन की अनुमति देता है

CVE-2024-23204 के रूप में पहचानी गई सुरक्षा भेद्यता 'यूआरएल का विस्तार करें' नामक एक विशिष्ट शॉर्टकट क्रिया से उत्पन्न होती है। यह क्रिया UTM ट्रैकिंग मापदंडों को समाप्त करते हुए t.co या bit.ly जैसी सेवाओं के माध्यम से छोटे किए गए URL का विस्तार और साफ़ करने के लिए डिज़ाइन की गई है। इस सुविधा का उपयोग करने से बेस64-एन्कोडेड डेटा को एक फोटो से एक दुर्भावनापूर्ण वेबसाइट पर प्रसारित करने की अनुमति मिलती है।

तकनीक में शॉर्टकट के भीतर संवेदनशील डेटा (जैसे फ़ोटो, संपर्क, फ़ाइलें और क्लिपबोर्ड डेटा) का चयन करना, इसे आयात करना, बेस 64 एनकोड विकल्प का उपयोग करके इसे परिवर्तित करना और फिर इसे समझौता किए गए सर्वर पर अग्रेषित करना शामिल है। चुराए गए डेटा को बाद में फ़्लास्क एप्लिकेशन के माध्यम से हमलावर के अंत में एक छवि के रूप में कैप्चर और संग्रहीत किया जाता है, जो संभावित अनुवर्ती शोषण के लिए मंच तैयार करता है।

चूंकि शॉर्टकट को निर्यात किया जा सकता है और उपयोगकर्ताओं के बीच साझा किया जा सकता है, जो शॉर्टकट समुदाय में एक आम प्रथा है, यह साझाकरण तंत्र भेद्यता की संभावित पहुंच का विस्तार करता है। उपयोगकर्ता अनजाने में ऐसे शॉर्टकट आयात कर सकते हैं जो CVE-2024-23204 का फायदा उठाते हैं, जिससे शोषण का खतरा बढ़ जाता है।

CVE-2024-23204 जैसी कमजोरियों के प्रभाव को कम करने के उपाय

पहचानी गई कमजोरियों के खिलाफ सुरक्षा बढ़ाने के लिए, उपयोगकर्ताओं को निम्नलिखित उपाय करने की दृढ़ता से अनुशंसा की जाती है:

ऑपरेटिंग सिस्टम अपडेट करें : सुनिश्चित करें कि macOS, iPadOS और watchOS डिवाइस नवीनतम सॉफ़्टवेयर संस्करण चला रहे हैं। ऑपरेटिंग सिस्टम को नियमित रूप से अपडेट करना महत्वपूर्ण है क्योंकि इसमें अक्सर पैच और सुरक्षा संवर्द्धन शामिल होते हैं जो संभावित कमजोरियों को संबोधित करते हैं।

शॉर्टकट के साथ सावधानी बरतें : शॉर्टकट निष्पादित करते समय सावधान रहें, विशेष रूप से अविश्वसनीय स्रोतों से प्राप्त शॉर्टकट। उपयोगकर्ताओं को अनजाने में अपने उपकरणों को सुरक्षा खतरों के संपर्क में लाने के जोखिम को कम करने के लिए शॉर्टकट चलाने से पहले उनकी उत्पत्ति और सामग्री की जांच करनी चाहिए।

अपडेट की नियमित जांच करें : Apple द्वारा प्रदान किए गए सुरक्षा अपडेट और पैच की नियमित जांच करके सतर्क रहें। नवीनतम सुरक्षा रिलीज़ के साथ डिवाइस को अद्यतन बनाए रखना संभावित शोषण और कमजोरियों के खिलाफ मजबूत सुरक्षा बनाए रखने के लिए मौलिक है।

इन अनुशंसित प्रथाओं का पालन करके, उपयोगकर्ताओं को अपने उपकरणों की सुरक्षा स्थिति को महत्वपूर्ण रूप से मजबूत करने और पहचानी गई भेद्यता का शिकार होने की संभावना कम होने की संभावना है।