Araştırmacılar Apple'ın Son Sıfır Tıklama Kısayolları Güvenlik Açığını Detaylandırıyor

Apple'ın Kısayollar uygulamasında, bir kısayolun kullanıcıların izni olmadan cihazdaki hassas bilgilere erişmesine izin verebilecek, şimdi yamalanmış yüksek önem derecesine sahip bir güvenlik açığı hakkında ayrıntılar ortaya çıktı.

CVE-2024-23204 (CVSS puanı: 7.5) olarak izlenen güvenlik açığı, Apple tarafından 22 Ocak 2024'te iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 ve watchOS 10.3'ün piyasaya sürülmesiyle giderildi.

"Bir kısayol, hassas verileri kullanıcıya sormadan belirli eylemlerle kullanabilir," dedi iPhone üreticisi bir danışma belgesinde, "ek izin kontrolleri" ile düzeltildiğini belirtti.

Apple Kısayolları, kullanıcıların cihazlarında belirli görevleri yürütmek için kişiselleştirilmiş iş akışları (diğer adıyla makrolar) oluşturmasına olanak tanıyan bir komut dosyası uygulamasıdır. iOS, iPadOS, macOS ve watchOS işletim sistemlerinde varsayılan olarak yüklü olarak gelir.

Kısayollar hatasını keşfeden ve bildiren Bitdefender güvenlik araştırmacısı Jubaer Alnazi Jabin, Şeffaflık, Rıza ve Kontrol (TCC) politikalarını atlayabilecek şekilde kötü amaçlı bir kısayol oluşturmak için silah haline getirilebileceğini söyledi.

TCC, kullanıcı verilerini ilk etapta uygun izinler istemeden yetkisiz erişime karşı korumak için tasarlanmış bir Apple güvenlik çerçevesidir.

Özellikle, kusur, t.co veya bit.ly gibi bir URL kısaltma hizmeti kullanılarak kısaltılmış URL'leri genişletip temizleyebilen ve aynı zamanda UTM izleme parametrelerini kaldırabilen "URL'yi Genişlet" adlı bir kısayol eyleminden kaynaklanmaktadır.

Alnazi Jabin, "Bu işlevsellikten yararlanarak, bir fotoğrafın Base64 kodlu verilerini kötü amaçlı bir web sitesine iletmek mümkün hale geldi" dedi.

"Yöntem, Kısayollar içindeki hassas verileri (Fotoğraflar, Kişiler, Dosyalar ve pano verileri) seçmeyi, içe aktarmayı, base64 kodlama seçeneğini kullanarak dönüştürmeyi ve nihayetinde kötü amaçlı sunucuya iletmeyi içerir."

Sızdırılan veriler daha sonra yakalanır ve bir Flask uygulaması kullanılarak saldırganın tarafında bir görüntü olarak kaydedilir ve bu da takip eden istismarın önünü açar.

Araştırmacı, "Kısayollar, Kısayollar topluluğunda yaygın bir uygulama olan kullanıcılar arasında dışa aktarılabilir ve paylaşılabilir" dedi. "Kullanıcılar bilmeden CVE-2024-23204'ten yararlanabilecek kısayolları içe aktardığından, bu paylaşım mekanizması güvenlik açığının potansiyel erişimini genişletiyor."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.