Zero-Click в мире Apple: “быстрые команды” приводят к “быстрому взлому”

В мире технологий обнаружена новая угроза, затрагивающая пользователей продукции Apple. На этот раз уязвимость касается приложения “Быстрые команды” (Shortcuts) – инструмента для создания пользовательских автоматизированных задач, который встроен в операционные системы iOS, iPadOS, macOS и watchOS.

Проблема, получившая идентификатор CVE-2024-23204 и оценку серьёзности 7.5 балла по шкале CVSS, позволяет с помощью ярлыка получить доступ к конфиденциальной информации на целевом устройстве без согласия пользователя.

Уязвимость была обнаружена специалистом безопасности из Bitdefender по имени Джубаер Альнази Джабин. Он выявил, что злоумышленники могут создать вредоносный макрос в приложении Shortcuts, который обходит политику TCC – фреймворка безопасности Apple, предназначенного для защиты данных пользователей от неавторизованного доступа.

В основе проблемы лежит функция “Expand URL” в приложении Shortcuts. Она предназначена для расширения сокращённых URL-адресов, таких как “t.co” или “bit.ly”, и удаления параметров отслеживания UTM. Используя этот функционал, злоумышленники способны передавать любые файлы пользователя, закодированные в Base64, на подконтрольный вредоносный сайт.

Альнази Джабин объяснил: “Метод включает в себя выбор любых конфиденциальных данных (фотографий, контактов, файлов и данных буфера обмена) в приложении Shortcuts, их импорт, преобразование с использованием опции кодирования base64 и, в конечном итоге, пересылку на вредоносный сервер”.

Эксплуатация уязвимости представляла серьёзную угрозу, поскольку приложение Shortcuts позволяет пользователям экспортировать и делиться созданными макросами, что существенно расширяет потенциал атак.

Apple оперативно отреагировала на ситуацию, выпустив обновления для своих операционных систем 22 января 2024 года. В версиях iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 и watchOS 10.3 была внедрена защита от данной угрозы. Подробности были раскрыты лишь месяц спустя, чтобы как можно большее число пользователей успело обновиться до безопасной версии ОС.

Если вы по какой-то причине до сих пор не обновили своё устройство Apple, сделать это нужно незамедлительно, чтобы избежать потенциальной эксплуатации CVE-2024-23204.

Public Release.