Злоумышленники могут использовать недавно исправленную уязвимость macOS для обхода проверок безопасности Transparency, Consent, and Control (TCC) и кражи конфиденциальной информации пользователя, включая кэшированные данные Apple Intelligence.
TCC – это технология безопасности и структура конфиденциальности, которая блокирует доступ приложений к частным данным пользователей, предоставляя macOS контроль над тем, как их данные доступны и используются приложениями на всех устройствах Apple.
Apple исправила дефект безопасности, отслеживаемый как CVE-2025-31199 (о котором сообщили сотрудники Microsoft Джонатан Бар Ор, Алексия Уилсон и Кристин Фоссачека), в патчах, выпущенных в марте для macOS Sequoia 15.4, с «улучшенным редактированием данных».
Apple ограничивает доступ к TCC только приложениям с полным доступом к диску и автоматически блокирует несанкционированное выполнение кода, однако исследователи безопасности Microsoft обнаружили, что злоумышленники могут использовать привилегированный доступ к плагинам Spotlight для доступа к конфиденциальным файлам и кражи их содержимого.
В опубликованном сегодня отчете они показали, что уязвимость (названная Sploitlight и описанная Apple как «проблема с протоколированием») может быть использована для сбора ценных данных, включая информацию, связанную с Apple Intelligence, и удаленную информацию о других устройствах, связанных с учетной записью iCloud.
К ним относятся, в частности, метаданные фотографий и видео, точные данные о геолокации, данные о распознавании лиц и людей, активность пользователя и контекст событий, фотоальбомы и общие библиотеки, история поиска и предпочтения пользователя, а также удаленные фотографии и видео.
С 2020 года Apple исправила другие обходы TCC, использующие монтирование Time Machine (CVE-2020-9771), отравление переменных окружения (CVE-2020-9934) и проблему с выводом пакета (CVE-2021-30713). В прошлом исследователи безопасности Microsoft также обнаружили несколько других обходов TCC, включая powerdir (CVE-2021-30970) и HM-Surf, которые также могут быть использованы для получения доступа к частным данным пользователей.
«Несмотря на схожесть с предыдущими обходами TCC, такими как HM-Surf и powerdir, последствия этой уязвимости, которую мы называем «Sploitlight» за ее использование плагинов Spotlight, более серьезны из-за ее способности извлекать и сливать конфиденциальную информацию, кэшированную Apple Intelligence, такую как точные геолокационные данные, метаданные фото и видео, данные распознавания лиц и людей, историю поиска и предпочтения пользователей, и многое другое»
- заявила Microsoft
«Эти риски еще более усложняются и усиливаются возможностью удаленной связи между учетными записями iCloud, то есть злоумышленник, имеющий доступ к устройству пользователя под управлением macOS, может также использовать уязвимость для получения удаленной информации о других устройствах, связанных с той же учетной записью iCloud.»
За последние годы исследователи безопасности Microsoft обнаружили множество других серьезных уязвимостей macOS, в том числе обход SIP, получивший название «Shrootless» (CVE-2021-30892), о котором сообщалось в 2021 году и который позволяет злоумышленникам устанавливать руткиты на взломанные компьютеры Mac.
Совсем недавно они обнаружили обход SIP, получивший название «Migraine» (CVE-2023-32369), и дефект безопасности под названием Achilles (CVE-2022-42821), который можно использовать для установки вредоносного ПО с помощью недоверенных приложений, обходящих ограничения на выполнение Gatekeeper.
В прошлом году они сообщили о еще одном дефекте обхода SIP (CVE-2024-44243), позволяющем угрозам устанавливать вредоносные драйверы ядра путем загрузки сторонних расширений ядра.