Apple’ın iOS ve macOS’unda, başarılı bir şekilde kullanılması durumunda Şeffaflık, Rıza ve Kontrol (TCC) çerçevesinden kaçabilecek ve hassas bilgilere yetkisiz erişime yol açabilecek, yamalanmış bir güvenlik açığı hakkında ayrıntılar ortaya çıktı.
Kusur şu şekilde izlendi: CVE-2024-44131 (CVSS puanı: 5,3), Apple başına FileProvider bileşeninde bulunur ve iOS 18, iPadOS 18 ve macOS Sequoia 15’teki sembolik bağlantıların (sembolik bağlantılar) doğrulanması iyileştirilerek giderilmiştir.
Kusuru keşfeden ve bildiren Jamf Threat Labs, TCC bypass’ının sisteme kurulu bir sahtekar tarafından kullanıcıların bilgisi olmadan hassas verileri ele geçirmek için kullanılabileceğini söyledi.
TCC, Apple cihazlarında kritik bir güvenlik koruması görevi görerek, son kullanıcılara uygulamalardan gelen, GPS konumu, kişiler ve fotoğraflar gibi hassas verilere erişim isteğine izin verme veya reddetme yolu sunar.
Şirket, “Bu TCC bypass’ı, kullanıcıları uyarmadan dosyalara ve klasörlere, Sağlık verilerine, mikrofona veya kameraya ve daha fazlasına yetkisiz erişime izin veriyor” dedi. “Bu, kullanıcıların iOS cihazlarının güvenliğine olan güvenini zayıflatıyor ve kişisel verileri riske maruz bırakıyor.”
Temelde güvenlik açığı, arka planda çalışan kötü amaçlı bir uygulamanın, kullanıcının Dosyalar uygulamasındaki dosyaları kopyalamak veya taşımak için yaptığı eylemleri engellemesine ve bunları kendi kontrolü altındaki bir konuma yönlendirmesine olanak tanıyor.
Bu saldırı, dosyaları taşımak ve daha sonra uzak bir sunucuya yüklenebilmek için iCloud ve diğer üçüncü taraf bulut dosya yöneticileriyle ilişkili dosya işlemlerini yöneten bir arka plan programı olan fileproviderd’in yükseltilmiş ayrıcalıklarından yararlanarak çalışıyor.
Jamf, “Özellikle bir kullanıcı, arka planda çalışan kötü amaçlı bir uygulamanın erişebildiği bir dizindeki Files.app kullanarak dosya veya dizinleri taşıdığında veya kopyaladığında, saldırgan, Files uygulamasını aldatmak için sembolik bağlantıları manipüle edebilir” dedi.
“Yeni sembolik bağlantı saldırısı yöntemi ilk olarak masum bir dosyayı kopyalayarak, kötü amaçlı bir işleme kopyalamanın başladığına dair algılanabilir bir sinyal sağlar. Daha sonra, kopyalama süreci zaten devam ederken, sembolik bağlantı kontrolünü etkili bir şekilde atlayarak bir sembolik bağlantı eklenir.”
Bu nedenle bir saldırgan, hem birinci hem de üçüncü taraf uygulamalarla ilişkili iCloud yedekleme verilerine erişmek için “/var/mobile/Library/Mobile Documents/” yolu altındaki çeşitli dosya ve dizinleri kopyalama, taşıma ve hatta silme yöntemini kullanabilir. onları dışarı sızdırın.
Bu boşlukla ilgili önemli olan şey, TCC çerçevesini tamamen baltalaması ve kullanıcıya herhangi bir istem tetiklememesidir. Bununla birlikte, erişilebilen veri türü, dosya işlemini hangi sistem işleminin yürüttüğüne bağlıdır.
Jamf, “Bu güvenlik açıklarının ciddiyeti, hedeflenen sürecin ayrıcalıklarına bağlıdır” dedi. “Bu, belirli veri türleri için erişim kontrolü uygulamasında bir boşluk olduğunu ortaya koyuyor, çünkü bu yarış durumu nedeniyle tüm veriler uyarı olmadan çıkarılamıyor.”
“Örneğin, rastgele atanan UUID’ler tarafından korunan klasörlerdeki veriler ve belirli API’ler aracılığıyla alınan veriler, bu tür saldırılardan etkilenmez.”
Bu gelişme, Apple’ın WebKit’te bellek bozulmasına veya işlem çökmesine yol açabilecek dört kusur ve Ses’te (CVE-2024-54529) bir uygulamanın çalışmasına izin verebilecek bir mantıksal güvenlik açığı da dahil olmak üzere çeşitli sorunları gidermek amacıyla tüm yazılımları için güncellemeler yayınlamasıyla ortaya çıktı. çekirdek ayrıcalıklarıyla rastgele kod yürütün.
Ayrıca iPhone üreticisi tarafından, bir web sitesinin Özel Aktarma etkinleştirilmiş bir cihazda Okuma Listesine eklenirken kaynak IP adresini toplamasına olanak tanıyan Safari’deki bir hata (CVE-2024-44246) da yamalanmıştır. Apple, “Safari kaynaklı isteklerin geliştirilmiş yönlendirmesi” ile sorunu çözdüğünü söyledi.