Emerge una pericolosa vulnerabilità nelle Shortcut di Apple
È emersa una pericolosa vulnerabilità nelle Shortcut di Apple, che potrebbe dare agli attaccanti accesso a dati sensibili su tutto il dispositivo. Tutto questo, senza che all’utente venga chiesto di concedere autorizzazioni.
L’applicazione Shortcut di Apple, progettata per macOS e iOS, mira ad automatizzare compiti. Per le aziende, consente agli utenti di creare macro per eseguire compiti specifici sui propri dispositivi e quindi combinarli in flussi di lavoro per tutto. Le funzioni vanno dalla automazione Web alle funzioni di smart factory. Questi possono poi essere condivisi online tramite iCloud e altre piattaforme con colleghi e partner.
Secondo un’analisi di Bitdefender pubblicata oggi, la vulnerabilità (CVE-2024-23204) rende possibile creare un file Shortcut malevolo. Questo sarebbe in grado di aggirare il framework di sicurezza di Trasparenza, Consenso e Controllo (TCC) di Apple. Il quale dovrebbe garantire che le app richiedano esplicitamente il permesso dall’utente prima di accedere a determinati dati o funzionalità.
Ciò significa che quando qualcuno aggiunge una shortcut malevola alla propria libreria, può silenziosamente sottrarre dati sensibili e informazioni di sistema. Tutto ciò, senza dover ottenere il permesso dall’utente. Nel loro exploit di prova (PoC), i ricercatori di Bitdefender sono stati quindi in grado di esfiltrare i dati in un file immagine criptato.
“Con le Shortcut che sono una funzionalità ampiamente utilizzata per la gestione efficiente dei compiti, la vulnerabilità solleva preoccupazioni sulla diffusione involontaria di shortcut malevole attraverso diverse piattaforme di condivisione”, ha notato il rapporto.
Il bug rappresenta una minaccia per i dispositivi macOS e iOS che eseguono versioni precedenti a macOS Sonoma 14.3, iOS 17.3 e iPadOS 17.3, ed è valutato 7,5 su un possibile 10 (alto). Il Common Vulnerability Scoring System (CVSS) gli assegna questo punteggio perché può essere sfruttato da remoto senza richiedere privilegi.
Apple ha corretto il bug e “stiamo esortando gli utenti a assicurarsi di eseguire l’ultima versione del software Apple Shortcuts”, ha dichiarato Bogdan Botezatu, direttore della ricerca e della segnalazione delle minacce presso Bitdefender.
Vulnerabilità di Sicurezza Apple: Sempre più Comuni
A ottobre, Accenture ha pubblicato un rapporto che rivela un aumento di dieci volte degli attori minacciosi del Dark Web che mirano a macOS dal 2019, con la tendenza destinata a continuare.
Le scoperte coincidono con l’emergere di sofisticati infostealer di macOS creati per aggirare la rilevazione integrata di Apple. E i ricercatori di Kaspersky hanno recentemente scoperto malware di macOS che mira a Bitcoin ed Exodus cryptowallets, con il software maligno che sostituisce le app genuine con versioni compromesse.
Continuano a emergere bug, rendendo l’accesso iniziale più facile. Ad esempio, all’inizio di quest’anno Apple ha corretto una vulnerabilità zero-day (CVE-2024-23222) nel motore WebKit del suo browser Safari, causata da un errore di natura type confusion, dove le assunzioni di validazione dell’input possono portare all’exploit.
Per evitare brutte sorprese con Apple in generale, il rapporto consiglia vivamente agli utenti di aggiornare i dispositivi macOS, iPadOS e watchOS alle ultime versioni, fare attenzione nell’eseguire shortcut da fonti non attendibili e controllare regolarmente gli aggiornamenti di sicurezza e le patch da Apple.
