CVE-2024-23204 Applen pikakuvakkeiden haavoittuvuus
Tietoturvatutkijat ovat paljastaneet yksityiskohtia Applen Shortcuts-sovelluksen merkittävästä tietoturvavirheestä, joka aiheuttaa vakavan riskin. Tämä virhe saattaa mahdollistaa pikakuvakkeen päästäkseen käsiksi laitteen arkaluontoisiin tietoihin ilman käyttäjän suostumusta. Haavoittuvuuden, joka on tunnistettu nimellä CVE-2024-23204, CVSS-pistemäärä on 7,5/10. Apple korjasi tämän haavoittuvuuden 22. tammikuuta 2024 julkaisemalla iOS 17.3:n, iPadOS 17.3:n ja macOS Sonoma 14.3:n. ja watchOS 10.3.
Kohdassa CVE-2024-23204 pikakuvake voi käyttää arkaluonteisia tietoja tiettyihin toimiin ilman käyttäjän lupaa. Apple on vahvistanut, että ongelma on ratkaistu ottamalla käyttöön "lisäkäyttöoikeustarkistukset" mainituissa ohjelmistopäivityksissä.
Sisällysluettelo
Tietoja Apple Shortcuts -sovelluksesta
Applen pikakuvakkeet palvelevat erilaisia tarkoituksia, joiden avulla käyttäjät voivat virtaviivaistaa tehtäviä vaivattomasti macOS- ja iOS-laitteissa. Tämä työkalu helpottaa lukuisten toimintojen automatisointia, jotka kattavat nopeat sovellustehtävät, laitehallinnan, mediahallinnan, viestit ja sijaintiin perustuvat toiminnot. Käyttäjät voivat luoda työnkulkuja, jotka on räätälöity tiedostojen hallintaan, terveyden- ja kuntoseurantaan, verkkoautomaatioon, koulutustarkoituksiin ja jopa saumattomaan integrointiin älykodin laitteisiin.
Pikakuvakkeet-virheestä raportoineet infosec-tutkijat ovat vahvistaneet, että se voidaan aseistaa haitallisen pikakuvakkeen luomiseksi siten, että se voi ohittaa läpinäkyvyys-, suostumus- ja valvontakäytännöt (TCC). TCC on Applen tietoturvakehys, joka on suunniteltu suojaamaan käyttäjätietoja luvattomalta käytöltä pyytämättä ensinkään asianmukaisia käyttöoikeuksia.
CVE-2024-23204 Sallii tietojen suodattamisen
Suojausheikkous, joka on tunnistettu nimellä CVE-2024-23204, on peräisin tietystä pikakuvaketoiminnosta nimeltä "Expand URL". Tämä toiminto on suunniteltu laajentamaan ja puhdistamaan URL-osoitteita, jotka on lyhennetty palveluilla, kuten t.co tai bit.ly, poistamalla UTM-seurantaparametrit. Tämän ominaisuuden hyödyntäminen mahdollistaa Base64-koodattujen tietojen siirtämisen valokuvasta haitalliselle verkkosivustolle.
Tekniikka sisältää arkaluontoisten tietojen (kuten valokuvat, yhteystiedot, tiedostot ja leikepöydän tiedot) valitsemisen pikakuvakkeista, niiden tuomisen, muuntamisen base64-koodausvaihtoehdon avulla ja sen edelleen välittämisen vaarantuneelle palvelimelle. Varastetut tiedot kaapataan ja tallennetaan kuvana hyökkääjän päähän Flask-sovelluksen kautta, mikä luo alustan mahdolliselle jatkokäytölle.
Koska pikakuvakkeita voidaan viedä ja jakaa käyttäjien kesken, mikä on yleinen käytäntö Shortcuts-yhteisössä, tämä jakamismekanismi laajentaa haavoittuvuuden mahdollista ulottuvuutta. Käyttäjät voivat tietämättään tuoda pikakuvakkeita, jotka hyödyntävät CVE-2024-23204:ää, mikä lisää hyväksikäytön riskiä.
Toimenpiteet haavoittuvuuksien vaikutusten lieventämiseksi, kuten CVE-2024-23204
Suojauksen parantamiseksi tunnistettuja haavoittuvuuksia vastaan käyttäjiä suositellaan seuraaviin toimenpiteisiin:
Päivitä käyttöjärjestelmät : Varmista, että macOS-, iPadOS- ja watchOS-laitteet käyttävät uusimpia ohjelmistoversioita. Käyttöjärjestelmän säännöllinen päivittäminen on ratkaisevan tärkeää, koska se sisältää usein korjaustiedostoja ja tietoturvaparannuksia, jotka korjaavat mahdollisia haavoittuvuuksia.
Ole varovainen pikanäppäimien kanssa : Ole varovainen suorittaessasi pikanäppäimiä, erityisesti niitä, jotka on saatu epäluotettavista lähteistä. Käyttäjien tulee tarkastaa pikakuvakkeiden alkuperä ja sisältö ennen niiden käyttämistä minimoidakseen laitteidensa tahattoman altistamisen turvallisuusuhkille.
Tarkista päivitykset säännöllisesti : Pysy valppaana tarkistamalla säännöllisesti Applen toimittamat tietoturvapäivitykset ja -korjaukset. Laitteen pitäminen ajan tasalla uusimpien tietoturvajulkaisujen kanssa on olennaista, jotta ylläpidetään vankkaa puolustusta mahdollisia hyväksikäyttöjä ja haavoittuvuuksia vastaan.
Noudattamalla näitä suositeltuja käytäntöjä käyttäjät todennäköisesti vahvistavat merkittävästi laitteidensa turva-asentoa ja vähentävät todennäköisyyttä joutua tunnistetun haavoittuvuuden uhriksi.