Обнаруженная уязвимость в macOS и iOS позволяла обойти защиту и получить доступ к данным
Уязвимость, известная как CVE-2024-44131, позволяла осуществлять несанкционированный доступ к конфиденциальным данным, таким как фотографии, геопозиция и контакты, без согласия или уведомления пользователя.
Обнаруженная лабораторией Jamf Threat Labs уязвимость использовала недостаток в фреймворке TCC от Apple, разработанном для уведомления пользователей в тех случаях, когда приложение пытается получить доступ к конфиденциальной информации (такой как фотографии, контакты или данные о местоположении). Обойдя элементы управления TCC, вредоносное приложение может получить доступ к данным, не оповещая пользователя, что ставит под угрозу личную и корпоративную безопасность.
В основе уязвимости лежала атака с использованием символических ссылок, при которой появляется возможность манипулировать процессами Files.app и fileprovider для перенаправления файловых операций. Атака использует символические ссылки для манипулирования файловыми операциями, перенаправляя процессы в несанкционированные места и обходя средства контроля доступа.
Злоумышленник, желающий воспользоваться уязвимостью, на определенных этапах перемещения или копирования файлов может вставить символические ссылки, что позволит ему обмануть систему. Так он сможет получить несанкционированный доступ или скрытно извлечь конфиденциальные файлы, хранящиеся в iCloud, такие как резервные копии и синхронизированные документы.
Исследователи из Jamf обнаружили, что ключевым фактором уязвимости для определенных каталогов iCloud было отсутствие защиты на основе UUID. Защита на основе UUID назначает каталогам уникальные специфичные для устройства идентификаторы, предотвращая несанкционированный доступ через предсказуемые пути.
В отличие от большинства приложений и служб, которые защищают свои данные с помощью уникальных идентификаторов, различающихся на разных устройствах, некоторые пути данных iCloud остаются постоянными, открывая вектор атаки. Постоянство позволило злоумышленникам предсказывать структуры каталогов и обходить барьеры безопасности для целевых файлов, таких как резервные копии WhatsApp и документы Apple Pages.
Возможность эксплуатации уязвимости была дополнительно улучшена за счет повышенных привилегий в системных процессах Apple. Такие процессы, как fileproviderd, предоставляют особые права для безопасной обработки файловых операций. Уязвимость позволяла вредоносным приложениям перехватывать эти привилегии для перенаправления данных в контролируемые злоумышленником каталоги или даже загружать данные на удаленные серверы без обнаружения.
Исследователи Jamf связались с Apple задолго до того, как опубликовать подробности об обнаруженной уязвимости, и компания устранила её как в iOS 18, так и в macOS 15. Исправление безопасности усиливает проверки символических ссылок и укрепляет структуру TCC для предотвращения несанкционированных операций с файлами.
«Это открытие — тревожный сигнал для организаций о необходимости создания комплексных стратегий безопасности, охватывающих все конечные точки», — заключают исследователи Jamf. «Мобильные устройства, как и настольные компьютеры, являются критически важными частями любой структуры безопасности. Расширение мер безопасности для включения мобильных конечных точек имеет важное значение в эпоху, когда мобильные атаки становятся все более изощренными».