Security Bite эксклюзивно предоставлен вам Mosyle, единственная унифицированная платформа Apple. Все, что мы делаем, — это обеспечить готовность устройств Apple к работе и безопасность на предприятии. Наш уникальный интегрированный подход к управлению и безопасности сочетает в себе самые современные решения безопасности Apple для полностью автоматизированной защиты и соответствия требованиям, EDR следующего поколения, нулевого доверия на базе искусственного интеллекта и эксклюзивного управления привилегиями с самой мощной и современной Apple MDM. на рынке. Результатом стала полностью автоматизированная унифицированная платформа Apple, которой в настоящее время доверяют более 45 000 организаций, которая позволяет подготовить к работе миллионы устройств Apple без каких-либо усилий и по доступной цене. Запросите РАСШИРЕННУЮ ПРОБНУЮ ПРОБНУЮ ВЕРСИЮ сегодня и поймете, почему Mosyle — это все, что вам нужно для работы с Apple.

На прошлой неделе я получил интересный отчет от исследовательского отдела безопасности популярной компании Apple, занимающейся программным обеспечением для управления устройствами Jamf, в котором подробно описана серьезная, но уже исправленная уязвимость iOS и macOS. Находка была под запретом, но сегодня я наконец могу о ней рассказать.

Лаборатория угроз Jamf обнаружила значительную уязвимость в подсистеме прозрачности, согласия и контроля (TCC) Apple iOS на iOS и macOS, которая может позволить вредоносным приложениям получить доступ к конфиденциальным пользовательским данным совершенно незаметно, не вызывая никаких уведомлений или запросов на согласие пользователя.

Во всей экосистеме Apple TCC функционирует как чрезвычайно важная система безопасности, которая предлагает пользователям разрешать, ограничивать или отклонять запросы отдельных приложений на доступ к конфиденциальным данным. Вероятно, вы встретите эти подсказки при первом открытии приложений. Однако при сбое этого механизма контроля может возникнуть уязвимость обхода TCC, что потенциально позволяет приложению получить доступ к частной информации без явного согласия или ведома пользователя.

Недавно обнаруженная уязвимость, отслеживаемая как CVE-2024-44131, влияет на системные процессы Files.app и FileProvider.framework и может раскрыть личную информацию пользователей, включая фотографии, местоположение GPS, контакты и данные о состоянии здоровья. Более того, Джамф утверждает, что это также может предоставить потенциально вредоносным приложениям доступ к микрофону и камере пользователя. Этот эксплойт может произойти совершенно незамеченным.

Как это работает

Команда исследователей Джамфа обнаружила потенциальный обход символических ссылок, которые используют способ обработки файловых операций в iOS. Стратегически вставив символическую ссылку в середине процесса копирования файла, вредоносное приложение может перехватить и перенаправить перемещение файлов, не вызывая приглашения TCC.

«Когда пользователь перемещает или копирует файлы внутри Files.app, фоновое вредоносное приложение может перехватывать эти действия и перенаправлять файлы в места, находящиеся под контролем приложения», — поясняется в отчете Jamf Threat Labs. «Воспользовавшись повышенными привилегиями fileproviderd, вредоносное приложение может перехватить перемещение или копирование файлов, не вызывая запроса TCC. Эта эксплуатация может произойти в мгновение ока, совершенно незаметно для конечного пользователя».

Самый тревожный аспект этой уязвимости — возможность скрытого доступа к данным. Поскольку здесь не запускаются запросы TCC, у пользователей нет никаких признаков того, что к их данным осуществляется доступ или они перемещаются в каталог, контролируемый злоумышленником.

Особенно уязвимы файлы, хранящиеся в iCloud, особенно в таких каталогах, как /var/mobile/Library/Mobile Documents/. Помимо любых фотографий или файлов, хранящихся здесь, сюда также могут относиться данные из таких приложений, как WhatsApp, Pages и других приложений, синхронизируемых с облаком.

Неизвестно, активно ли эксплуатировалась эта уязвимость. Джамф говорит, что сразу же сообщил об этом в Apple, которая исправила проблему в первоначальных выпусках iOS 18 и macOS 15 еще в сентябре.

Полный текст исследования Jamf Threat Lab можно посмотреть здесь.

Больше о безопасности Apple

ФСледуй за Арин: Твиттер/ХLinkedIn, Темы

Jamf обнаружил уязвимость обхода TCC, обеспечивающую скрытый доступ к данным iCloud

©


Смотрите также/You may also like