CVE-2024-23204 Apples genvejssårbarhed

Der er dukket oplysninger op om en tidligere rettet sikkerhedssårbarhed af høj alvorlighed i Apples genvejsapp, som kunne gøre det muligt for en genvej at få adgang til følsomme enhedsdata uden brugerens samtykke.

Sikkerhedsfejlen, identificeret som CVE-2024-23204 med en CVSS-score på 7,5, blev rettet af Apple den 22. januar 2024 gennem udgivelsen af iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 og watchOS 10.3.

Apple forklarede i en meddelelse, at en genvej måske kunne have været i stand til at bruge følsomme data uden brugeropfordring, og dette blev rettet gennem implementeringen af "yderligere tilladelsestjek."

Genveje-appen er et scriptværktøj, der giver brugerne mulighed for at skabe tilpassede arbejdsgange på iOS, iPadOS, macOS og watchOS. Det kommer forudinstalleret på disse operativsystemer.

Sårbarhed giver alvorligt ondsindet potentiale

Forskere fremhævede den potentielle bevæbning af fejlen for at skabe en ondsindet genvej, der er i stand til at omgå politikker for gennemsigtighed, samtykke og kontrol (TCC). TCC er en Apple-sikkerhedsramme designet til at beskytte brugerdata ved at kræve passende tilladelser.

Sårbarheden er specifikt knyttet til en genvejshandling ved navn "Udvid URL", som kan udvide og rydde op i forkortede URL'er fra tjenester som t.co eller bit.ly, samtidig med at UTM-sporingsparametre fjernes.

Ved at udnytte denne funktionalitet blev det muligt at overføre Base64-kodede data af et foto til et ondsindet websted. Denne metode involverer at vælge følsomme data (såsom fotos, kontakter, filer og udklipsholderdata) i genveje, importere dem, konvertere dem ved hjælp af base64 encode-indstillingen og i sidste ende sende dem til den ondsindede server.

De eksfiltrerede data fanges derefter og gemmes som et billede på angriberens ende gennem en Flask-applikation, hvilket åbner døren for potentiel opfølgende udnyttelse.