CVE-2024-23204 Chyba zabezpečenia skratiek Apple
Bezpečnostní výskumníci odhalili podrobnosti týkajúce sa významnej bezpečnostnej chyby v aplikácii Apple Shortcuts, ktorá predstavuje vysoké riziko. Táto chyba by mohla umožniť skratku na prístup k citlivým informáciám na zariadení bez získania súhlasu používateľa. Zraniteľnosť označená ako CVE-2024-23204 má skóre CVSS 7,5 z 10. Spoločnosť Apple túto konkrétnu zraniteľnosť vyriešila 22. januára 2024 prostredníctvom vydania iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3. a watchOS 10.3.
Podľa CVE-2024-23204 môže skratka využívať citlivé údaje na konkrétne akcie bez potreby autorizácie používateľa. Apple potvrdil, že problém bol vyriešený implementáciou „dodatočných kontrol povolení“ v spomínaných aktualizáciách softvéru.
Obsah
Podrobnosti o aplikácii Apple Shortcuts
Skratky Apple slúžia na rôzne účely, ktoré používateľom umožňujú bez námahy zjednodušiť úlohy na zariadeniach so systémom macOS a iOS. Tento nástroj uľahčuje automatizáciu mnohých akcií, ktoré zahŕňajú rýchle úlohy aplikácií, ovládanie zariadenia, správu médií, posielanie správ a aktivity založené na polohe. Používatelia môžu vytvárať pracovné postupy prispôsobené na správu súborov, sledovanie zdravia a kondície, automatizáciu webu, vzdelávacie účely a dokonca bezproblémovú integráciu so zariadeniami inteligentnej domácnosti.
Výskumníci spoločnosti Infosec, ktorí nahlásili chybu skratiek, potvrdili, že by mohla byť použitá ako zbraň na vytvorenie zákernej skratky, ktorá by mohla obísť politiku transparentnosti, súhlasu a kontroly (TCC). TCC je bezpečnostný rámec spoločnosti Apple, ktorý je navrhnutý tak, aby chránil používateľské údaje pred neoprávneným prístupom bez toho, aby v prvom rade vyžadoval príslušné povolenia.
CVE-2024-23204 Umožňuje exfiltráciu údajov
Chyba zabezpečenia identifikovaná ako CVE-2024-23204 pochádza zo špecifickej akcie skratky s názvom „Rozbaliť adresu URL“. Táto akcia je navrhnutá na rozšírenie a vyčistenie adries URL skrátených prostredníctvom služieb ako t.co alebo bit.ly, čím sa odstránia parametre sledovania UTM. Využitie tejto funkcie umožňuje prenos údajov kódovaných Base64 z fotografie na škodlivú webovú stránku.
Táto technika zahŕňa výber citlivých údajov (ako sú fotografie, kontakty, súbory a údaje zo schránky) v rámci skratiek, ich importovanie, konverziu pomocou možnosti kódovania base64 a ich preposlanie na napadnutý server. Ukradnuté údaje sú následne zachytené a uložené ako obrázok na útočníkovom konci prostredníctvom aplikácie Flask, čím sa pripraví pôda pre potenciálne následné zneužitie.
Keďže skratky možno exportovať a zdieľať medzi používateľmi, čo je bežná prax v komunite skratiek, tento mechanizmus zdieľania rozširuje potenciálny dosah zraniteľnosti. Používatelia môžu nevedomky importovať skratky, ktoré využívajú CVE-2024-23204, čím sa zvyšuje riziko zneužitia.
Opatrenia na zmiernenie dopadu slabých miest, ako je CVE-2024-23204
Na zvýšenie ochrany pred identifikovanými zraniteľnosťami sa používateľom dôrazne odporúča vykonať nasledujúce opatrenia:
Aktualizácia operačných systémov : Uistite sa, že zariadenia macOS, iPadOS a watchOS používajú najnovšie verzie softvéru. Pravidelná aktualizácia operačného systému je kľúčová, pretože často obsahuje opravy a vylepšenia zabezpečenia, ktoré riešia potenciálne zraniteľnosti.
Buďte opatrní so skratkami : Buďte opatrní pri spúšťaní skratiek, najmä tých, ktoré sú získané z nedôveryhodných zdrojov. Používatelia by si mali pred spustením skratiek skontrolovať pôvod a obsah, aby sa minimalizovalo riziko neúmyselného vystavenia ich zariadení bezpečnostným hrozbám.
Pravidelne kontrolujte aktualizácie : Buďte ostražití a pravidelne kontrolujte bezpečnostné aktualizácie a opravy poskytované spoločnosťou Apple. Udržiavanie zariadenia v aktuálnom stave s najnovšími bezpečnostnými vydaniami je základom pre udržanie robustnej obrany proti potenciálnym zneužitiam a zraniteľnostiam.
Dodržiavaním týchto odporúčaných postupov používatelia pravdepodobne výrazne posilnia bezpečnostnú pozíciu svojich zariadení a znížia pravdepodobnosť, že sa stanú obeťou identifikovanej zraniteľnosti.