Sploitlight: bejutás a rendszer mélyére
A Sploitlight néven elhíresült, Spotlight-bővítményeket érintő hibát 2024 márciusában javította az Apple. Mivel csak teljes lemezhozzáféréssel rendelkező alkalmazások férhetnek hozzá a TCC-hez, ráadásul ez is korlátozott, a Microsoft kutatói mégis kimutatták, hogy egy Spotlight-bővítmény kivételt képezhetett a szabály alól. Így a támadók képesek lehettek érzékeny fájlokhoz hozzáférni – beleértve az Apple Intelligence által gyorsítótárazott adatokat és távoli, iCloud-fiókkal összekötött eszközök információit is.
Milyen adatok szivároghattak ki?
Kiszivároghattak fotók és videók metaadatai, pontos földrajzi helyadatok, arcfelismerési adatok, felhasználói aktivitás, naptárbejegyzések, keresési előzmények, beállítások, sőt törölt fotók és videók is. Az iCloud-fiókok közötti távoli összekapcsolás miatt a támadók nemcsak egyetlen eszközt, hanem több, egy fiókhoz tartozó készüléket is feltérképezhettek.
Biztonsági rések és következményeik
2020 óta több TCC-megkerülő sérülékenység látott napvilágot, de a Sploitlight által jelentett kockázat jelentősebb, mert az Apple Intelligence különösen érzékeny felhasználói adatait is hozzáférhetővé tette. Emellett többször találtak már súlyos macOS-hibákat: például SIP-megkerülési vagy Gatekeeper-t kijátszó sebezhetőségeket, amelyek révén rootkitet vagy más rosszindulatú szoftvert lehet telepíteni. Az Apple legutóbb egy, kernelmeghajtók betöltését is engedő hibát javított, amely lehetőséget adott a támadók számára káros kód futtatására.
