Jamf Threat Labs’taki araştırmacılara göre, Apple’ın iOS işletim sistemindeki FileProvider Şeffaflık, Onay ve Kontrol (TCC) alt sistemindeki bir bypass kusuru, kullanıcıların verilerinin tehlikeli bir şekilde açığa çıkmasına neden olabilir.
CVE-2024-44131 olarak atanan sorun, Eylül 2024’te Apple tarafından başarıyla yamalandı ve araştırmacılarının bu keşfiyle itibar kazandığı Jamf, sorunu bugün resmi olarak açıklıyor. Bu durum macOS cihazlarını da etkiliyor ancak Jamf’in araştırmacıları, güncellemeler sırasında bu özellikler daha çok ihmal edildiğinden mobil ekosisteme odaklanmış durumda.
CVE-2024-44131, tehdit aktörlerinin özellikle ilgisini çekiyor çünkü başarılı bir şekilde kullanılırsa kişiler, konum verileri ve fotoğraflar da dahil olmak üzere hedef cihazda tutulan hassas bilgilere erişmelerini sağlayabilir.
Jamf ekibi, TCC’nin “kritik bir güvenlik çerçevesi” olduğunu, kullanıcıları belirli uygulamalardan gelen verilere erişme isteklerini kabul etmeye veya reddetmeye teşvik ettiğini ve CVE-2024-44131’in, eğer liderlerini ikna edebilirlerse, bir tehdit aktörünün bundan tamamen kaçmasına olanak tanıdığını açıkladı. Kötü amaçlı bir uygulamayı indirmek için kurban.
Ekip, “Bu keşif, saldırganların birden fazla konumdan erişilebilen verilere ve fikri mülkiyet haklarına odaklanması nedeniyle daha geniş bir güvenlik endişesinin altını çiziyor ve böylece bağlı sistemlerin en zayıflarından ödün vermeye odaklanabiliyorlar” dedi.
“Verilerin birçok form faktörüne sahip cihazlar arasında senkronize edilmesine olanak tanıyan iCloud gibi hizmetler, değerli fikri mülkiyet ve verilere erişimlerini hızlandırmak isteyen saldırganların çeşitli giriş noktalarında açıklardan yararlanma girişiminde bulunmasına olanak tanıyor.”
Nasıl çalışır?
Sorunun temelinde, dosya işlemlerini yönetirken Apple Files.app ile FileProvider sistem süreci arasındaki etkileşim yatıyor.
Gösterilen istismarda, farkında olmadan bir kullanıcı Files.app ile dosyaları veya dizinleri arka planda çalışan kötü amaçlı uygulamanın erişebileceği bir dizine taşıdığında veya kopyaladığında, saldırgan sembolik bir bağlantıyı veya sembolik bağlantıyı (bir dosya) manipüle etme yeteneği kazanır. yalnızca hedef dosyanın yolunu belirtin.
Dosya işlemi API’leri genellikle sembolik bağlantıları kontrol eder, ancak genellikle işleme başlamadan önce yolun son kısmında görünürler, dolayısıyla daha önce görünürlerse (bu yararlanma zincirinde durum budur) işlem bu kontrolleri atlayacaktır.
Bu şekilde saldırgan, verileri fark edilmeden kontrol ettikleri bir dizine taşımak veya kopyalamak için FileProvider tarafından sağlanan yükseltilmiş ayrıcalıkları kötüye kullanmak üzere kötü amaçlı uygulamayı kullanabilir. Daha sonra bu dizinleri gizleyebilir veya kontrol ettikleri bir sunucuya yükleyebilirler.
Jamf ekibi, “Çok önemli” dedi, “tüm bu operasyon, herhangi bir TCC istemini tetiklemeden gerçekleşiyor.”
Bu kusura karşı en etkili savunma, Apple’ın birkaç aydır mevcut olan yamalarını uygulamaktır. Güvenlik ekipleri ayrıca uygulama davranışının ve uç nokta korumasının ek izlenmesini uygulamak isteyebilir.
Jamf’in strateji başkan yardımcısı Michael Covington, güncellemeler aynı zamanda iOS cihazları için bir dizi yapay zeka (AI) özelliği olan Apple Intelligence desteğini de içerdiğinden, bu özelliğe yönelik “temkinliliğin” bazı kuruluşların güncellemeleri uygulamaktan vazgeçmesine yol açabileceği konusunda uyardı. Gerekli yama, saldırı vektörünü istismara açık bırakıyor.
Ekip, “Bu keşif, kuruluşların tüm uç noktaları ele alan kapsamlı güvenlik stratejileri oluşturmaları için bir uyandırma çağrısıdır” dedi.
“Masaüstü bilgisayarlar kadar mobil cihazlar da herhangi bir güvenlik çerçevesinin kritik parçalarıdır. Mobil saldırıların giderek karmaşıklaştığı bir çağda, güvenlik uygulamalarının mobil uç noktaları kapsayacak şekilde genişletilmesi hayati önem taşıyor.”