Surgiram detalhes sobre uma irregularidade de segurança de subida seriedade agora corrigida no aplicativo Shortcuts da Apple que poderia permitir um tramite para acessar informações confidenciais no dispositivo sem o consentimento dos usuários.
A vulnerabilidade, rastreada uma vez que CVE-2024-23204 (pontuação CVSS: 7,5), foi corrigida pela Apple em 22 de janeiro de 2024, com o lançamento do iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 e watchOS 10.3.
“Um tramite pode ser capaz de usar dados confidenciais com certas ações sem avisar o usuário”, disse a operário do iPhone em um expedido, afirmando que foi revisto com “verificações adicionais de permissões”.
Apple Shortcuts é um aplicativo de script que permite aos usuários produzir fluxos de trabalho personalizados (também conhecidos uma vez que macros) para executar tarefas específicas em seus dispositivos. Ele vem instalado por padrão nos sistemas operacionais iOS, iPadOS, macOS e watchOS.
O pesquisador de segurança da Bitdefender, Jubaer Alnazi Jabin, que descobriu e relatou o bug dos atalhos, disse que ele poderia ser transformado em uma arma para produzir um tramite malicioso que pudesse contornar as políticas de Transparência, Consentimento e Controle (TCC).
TCC é uma estrutura de segurança da Apple projetada para proteger os dados do usuário contra entrada não autorizado, sem primeiro solicitar as permissões apropriadas.
Especificamente, a irregularidade está enraizada em uma ação de tramite chamada “Expandir URL”, que é capaz de expandir e limpar URLs que foram encurtados usando um serviço de encurtamento de URL uma vez que t.co ou bit.ly, ao mesmo tempo que remove parâmetros de rastreamento UTM.
“Ao aproveitar esta funcionalidade, tornou-se verosímil transmitir os dados codificados em Base64 de uma foto para um site malicioso”, explicou Alnazi Jabin.
“O método envolve selecionar quaisquer dados confidenciais (fotos, contatos, arquivos e dados da espaço de transferência) nos atalhos, importá-los, convertê-los usando a opção de codificação base64 e, por término, encaminhá-los para o servidor malicioso.”
Os dados exfiltrados são logo capturados e salvos uma vez que uma imagem no lado do invasor usando um aplicativo Flask, abrindo caminho para a exploração subsequente.
“Os atalhos podem ser exportados e compartilhados entre os usuários, uma prática geral na comunidade de atalhos”, disse o pesquisador. “Leste mecanismo de compartilhamento amplia o alcance potencial da vulnerabilidade, já que os usuários importam, sem saber, atalhos que podem explorar o CVE-2024-23204.”
