Jamf Threat Labs 在苹果公司的透明、同意和控制(TCC)安全框架中发现了一个漏洞。该漏洞被命名为 CVE-2024-44131,可使恶意应用程序绕过用户同意机制,在用户不知情的情况下访问敏感数据。该漏洞同时影响 macOS 和 iOS 系统,已在 macOS 15 和 iOS 18 中得到修补。
苹果的 TCC 框架旨在确保应用程序在访问照片、位置和通讯录等敏感数据前征求用户同意。然而,这个漏洞允许攻击者绕过这些保护措施。Jamf 解释说: “这种 TCC 绕过允许未经授权访问文件和文件夹、健康数据、麦克风或摄像头等,而不会提醒用户。这破坏了用户对 iOS 设备安全性的信任,使个人数据面临风险。”
该漏洞综合利用了 symlink 漏洞以及 fileproviderd 和 Files.app 等系统进程的权限提升,允许攻击者悄悄地将敏感的用户数据复制到其控制的目录中。
该漏洞允许恶意程序拦截 Files.app 中的文件操作,并在不触发 TCC 提示的情况下重定向敏感数据。Jamf 指出: “这种利用可以在眨眼之间发生,终端用户完全察觉不到。”
该漏洞影响 iOS 和 macOS,凸显了跨设备同步数据带来的风险。Jamf 解释说:“像 iCloud 这样的服务允许数据在多种形态的设备间同步,攻击者可以通过各种入口点尝试利用漏洞,加速获取有价值的知识产权和数据。”
存储在 iCloud 中的数据,如 WhatsApp、Pages 和 GarageBand 等应用程序的备份,由于缺乏基于 UUID 的独特保护,尤其容易受到攻击。Jamf 的概念验证展示了外泄存储在 iCloud 中的 WhatsApp 备份的能力。
这一漏洞对用户隐私和组织数据安全构成了严重威胁,尤其是在移动优先的环境中。其影响包括
个人数据泄露: 照片、联系人和健康数据可能被访问和篡改。
企业风险:依赖移动设备作为终端的企业必须像对待台式机一样严格对待它们的安全问题。
隐形攻击: 漏洞利用不会留下任何痕迹,因此很难在漏洞破坏后进行检测或缓解。
苹果已在 iOS 18 和 macOS 15 中解决了 CVE-2024-44131 问题。敦促用户立即更新设备以降低风险。此外,企业应考虑部署主动安全解决方案,以监控和阻止可疑的应用程序行为。
正如 Jamf 所强调的: “虽然苹果的操作系统更新可以解决特定的漏洞,但主动的端点保护可以检测和阻止意外行为或异常请求。”
文章原文链接:https://www.anquanke.com/post/id/302595