Apple’ın Kısayollar uygulamasında, kullanıcıların izni olmadan cihazdaki hassas bilgilere bir kısayolun erişmesine izin verebilecek, artık yamalanmış yüksek önemdeki bir güvenlik açığı hakkında ayrıntılar ortaya çıktı.
CVE-2024-23204 (CVSS puanı: 7,5) olarak takip edilen güvenlik açığı, Apple tarafından 22 Ocak 2024’te iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 ve watchOS 10.3’ün yayımlanmasıyla giderildi.
iPhone üreticisi, bir danışma belgesinde “Bir kısayol, hassas verileri kullanıcıya sormadan belirli eylemlerle kullanabilir” dedi ve bunun “ek izin kontrolleri” ile düzeltildiğini belirtti.
Apple Kısayolları, kullanıcıların cihazlarında belirli görevleri yürütmek için kişiselleştirilmiş iş akışları (diğer adıyla makrolar) oluşturmasına olanak tanıyan bir komut dosyası oluşturma uygulamasıdır. iOS, iPadOS, macOS ve watchOS işletim sistemlerinde varsayılan olarak yüklü olarak gelir.
Kısayollar hatasını keşfeden ve bildiren Bitdefender güvenlik araştırmacısı Jubaer Alnazi Jabin, bunun Şeffaflık, Rıza ve Kontrol (TCC) politikalarını atlayabilecek kötü amaçlı bir kısayol oluşturmak için silah olarak kullanılabileceğini söyledi.
TCC, kullanıcı verilerini ilk etapta uygun izinler istenmeden yetkisiz erişime karşı korumak için tasarlanmış bir Apple güvenlik çerçevesidir.
Spesifik olarak kusurun kökü, t.co veya bit.ly gibi bir URL kısaltma hizmeti kullanılarak kısaltılmış URL’leri genişletip temizleyebilen ve aynı zamanda UTM izleme parametrelerini de kaldırabilen “URL’yi Genişlet” adı verilen bir kısayol eyleminden kaynaklanmaktadır.
Alnazi Jabin, “Bu işlevsellikten yararlanılarak, bir fotoğrafın Base64 kodlu verilerinin kötü amaçlı bir web sitesine aktarılması mümkün hale geldi” dedi.
“Bu yöntem, Kısayollar’daki hassas verileri (Fotoğraflar, Kişiler, Dosyalar ve pano verileri) seçmeyi, içe aktarmayı, base64 kodlama seçeneğini kullanarak dönüştürmeyi ve sonuçta kötü amaçlı sunucuya iletmeyi içeriyor.”
Sızdırılan veriler daha sonra yakalanıp saldırganın tarafında bir Flask uygulaması kullanılarak bir görüntü olarak kaydediliyor ve böylece daha sonraki istismarların yolu açılıyor.
Araştırmacı, “Kısayollar dışa aktarılabilir ve kullanıcılar arasında paylaşılabilir; bu, Kısayollar topluluğunda yaygın bir uygulamadır” dedi. “Kullanıcılar bilmeden CVE-2024-23204’ten yararlanabilecek kısayolları içe aktardığından, bu paylaşım mekanizması güvenlik açığının potansiyel erişim alanını genişletiyor.”