CVE-2024-23204 Kahinaan sa Mga Shortcut ng Apple

Ang mga mananaliksik sa seguridad ay nagsiwalat ng mga detalye tungkol sa isang makabuluhang depekto sa seguridad sa application ng Mga Shortcut ng Apple, na naglalagay ng isang mataas na kalubhaan na panganib. Ang kapintasang ito ay maaaring magbigay-daan sa isang shortcut na ma-access ang sensitibong impormasyon sa device nang hindi kumukuha ng pahintulot ng user. Ang kahinaan, na kinilala bilang CVE-2024-23204, ay may marka ng CVSS na 7.5 sa 10. Tinugunan ng Apple ang partikular na kahinaan na ito noong Enero 22, 2024, sa pamamagitan ng paglabas ng iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3. at watchOS 10.3.

Sa ilalim ng CVE-2024-23204, ang isang shortcut ay maaaring gumamit ng sensitibong data para sa mga partikular na pagkilos nang hindi nangangailangan ng pahintulot ng user. Kinumpirma ng Apple na nalutas ang isyu sa pamamagitan ng pagpapatupad ng 'mga karagdagang pagsusuri sa pahintulot' sa nabanggit na mga update sa software.

Mga detalye tungkol sa Apple Shortcuts Application

Ang mga Apple Shortcut ay nagsisilbi sa iba't ibang layunin na nagbibigay-daan sa mga user na i-streamline ang mga gawain nang walang kahirap-hirap sa mga macOS at iOS device. Pinapadali ng tool na ito ang pag-automate ng maraming pagkilos, na sumasaklaw sa mga mabilisang gawain sa app, kontrol ng device, pamamahala ng media, pagmemensahe, at mga aktibidad na nakabatay sa lokasyon. Ang mga user ay maaaring gumawa ng mga workflow na iniakma para sa pamamahala ng file, kalusugan at fitness tracking, Web automation, mga layuning pang-edukasyon at kahit na walang putol na pagsasama sa mga smart home device.

Ang mga mananaliksik ng infosec na nag-ulat ng Shortcuts bug ay nakumpirma na maaari itong maging armas upang lumikha ng isang malisyosong shortcut upang ma-bypass nito ang mga patakaran sa Transparency, Consent, and Control (TCC). Ang TCC ay isang balangkas ng seguridad ng Apple na idinisenyo upang protektahan ang data ng user mula sa hindi awtorisadong pag-access nang hindi humihiling ng naaangkop na mga pahintulot sa unang lugar.

CVE-2024-23204 Pinapayagan ang Exfiltration ng Data

Ang kahinaan sa seguridad na kinilala bilang CVE-2024-23204 ay nagmula sa isang partikular na pagkilos ng shortcut na tinatawag na 'Palawakin ang URL.' Idinisenyo ang pagkilos na ito upang palawakin at linisin ang mga URL na pinaikli sa pamamagitan ng mga serbisyo tulad ng t.co o bit.ly, na nag-aalis ng mga parameter sa pagsubaybay sa UTM. Ang pagsasamantala sa tampok na ito ay nagbibigay-daan sa paghahatid ng Base64-encoded na data mula sa isang larawan patungo sa isang nakakahamak na website.

Ang pamamaraan ay nagsasangkot ng pagpili ng sensitibong data (tulad ng Mga Larawan, Mga Contact, File, at data ng clipboard) sa loob ng Mga Shortcut, pag-import nito, pag-convert nito gamit ang opsyong base64 encode, at pagkatapos ay ipasa ito sa nakompromisong server. Ang ninakaw na data ay kasunod na kinukuha at iniimbak bilang isang imahe sa dulo ng umaatake sa pamamagitan ng isang Flask application, na nagtatakda ng yugto para sa potensyal na follow-on na pagsasamantala.

Dahil ang mga Shortcut ay maaaring i-export at ibahagi sa mga user, isang karaniwang kasanayan sa komunidad ng Mga Shortcut, pinalalawak ng mekanismo ng pagbabahagi na ito ang potensyal na abot ng kahinaan. Maaaring hindi alam ng mga user na mag-import ng mga shortcut na nagsasamantala sa CVE-2024-23204, na nagpapataas ng panganib ng pagsasamantala.

Mga Panukala upang Bawasan ang Epekto ng Mga Kahinaan Gaya ng CVE-2024-23204

Upang mapahusay ang proteksyon laban sa mga natukoy na kahinaan, ang mga user ay lubos na inirerekomenda na gawin ang mga sumusunod na hakbang:

I-update ang Mga Operating System : Tiyaking tumatakbo ang mga macOS, iPadOS, at watchOS device ng mga pinakabagong bersyon ng software. Ang regular na pag-update ng operating system ay mahalaga dahil madalas itong may kasamang mga patch at pagpapahusay sa seguridad na tumutugon sa mga potensyal na kahinaan.

Mag-ingat sa Mga Shortcut : Maging maingat kapag nagsasagawa ng mga shortcut, lalo na ang mga nakuha mula sa mga hindi pinagkakatiwalaang source. Dapat suriin ng mga user ang pinagmulan at nilalaman ng mga shortcut bago patakbuhin ang mga ito upang mabawasan ang panganib na hindi sinasadyang ilantad ang kanilang mga device sa mga banta sa seguridad.

Regular na Suriin ang Mga Update : Manatiling mapagbantay sa pamamagitan ng regular na pagsusuri para sa mga update sa seguridad at mga patch na ibinigay ng Apple. Ang pagpapanatili ng device na napapanahon sa mga pinakabagong release ng seguridad ay mahalaga sa pagpapanatili ng matatag na depensa laban sa mga potensyal na pagsasamantala at kahinaan.

Sa pamamagitan ng pagsunod sa mga inirerekomendang kasanayang ito, ang mga user ay malamang na makabuluhang palakasin ang postura ng seguridad ng kanilang mga device at bawasan ang posibilidad na maging biktima ng natukoy na kahinaan.