Yeni açıklanan macOS güvenlik açığı, saldırganların Apple’ın gizlilik kontrollerini atlamasına ve Apple Intelligence tarafından önbelleğe alınan dosyalar da dahil olmak üzere hassas kullanıcı verilerine erişmesine izin veriyor. CVE-2025-31199 olarak izlenen kusur, Microsoft Tehdit İstihbaratı tarafından tanımlandı ve Spotlight eklentilerini korumalı dosyaları sızdırmak için kötüye kullanan bir yöntem içeriyor.
Başlangıçta güvenlik açığını tespit eden Microsoft Tehdit İstihbaratı, kusuru ortaya çıkardı ve Spotlight eklentilerini kötüye kullanması nedeniyle “Sploitlight” adını verdi. Apple zaten bir yama yayınlamış olsa da, istismarın arkasındaki teknik yöntem MacOS kullanıcıları, özellikle Apple’ın en son AI destekli özelliklerini kullananlar için olmalıdır.
Her şey MacOS’un yerleşik arama aracı olan Spotlight’ın ithalatçı olarak bilinen eklentileri nasıl işlediği ile başlar. Bunlar, Outlook veya Fotoğraflar gibi belirli uygulamalardan içeriği dizine eklemek için tasarlanmıştır.
Microsoft araştırmacıları, saldırganların bu ithalatçıları, kullanıcının izni olmasa bile, indirmeler ve resimler gibi TCC korumalı konumlardan tarama ve sızdırma için değiştirebileceğini buldular. Hile? Dosya içeriğini sistem günlüğünden parçalarda kaydetme, ardından sessizce alır.
Ancak, şirketin blog yayınına göre daha da kötüleşiyor. Apple Intelligence, varsayılan olarak tüm ARM tabanlı Mac’lere yüklenen, coğrafi konum verileri, fotoğraf ve video meta verileri, tanınmış yüzler ve hatta arama geçmişini içeren önbellekleri depolar.
TCC (şeffaflık, rıza ve kontrol) kuralları altında korunan bu bilgiler, kullanıcı izni olmadan uygulamalara genellikle ulaşılamaz. Ancak sploitlight kullanarak, saldırganlar bu verileri doğrudan önbelleklerden alabilir ve sistemin onay mekanizmalarını tamamen atlayabilir.
Microsoft’un kavram kanıtı, saldırganların kusurdan yararlanmak için kullanabileceği açık bir adım adım süreç gösteriyor. Bir spot ışığının meta verilerini değiştirerek, belirli bir dizine yerleştirerek ve bir taramayı tetikleyerek, saldırganlar erişim istemeden hassas klasörlere dokunabilirler. Ve bu eklentilerin imzalanması gerekmediğinden, derleme gerekmez. Bir metin dosyasına birkaç ince ayar yapmak tüm gerekir.
MacOS Sequoia için Mart 2025’te piyasaya sürülen Apple’ın Yaması bu kusuru ele alıyor. Microsoft, Apple’ın güvenlik ekibine koordineli güvenlik açığı açıklaması altında işbirliği yaptığı için teşekkür etti ve kullanıcıları güncellemeleri gecikmeden yüklemeye çağırdı.
Etki, istismarın mekaniğinden daha ileri gider ve gerçek kullanıcı verilerini etkiler. Meta verileri ve yüz tanıma bilgileri, iCloud aracılığıyla Apple cihazları arasında senkronize edildiğinden, tek bir Mac’ten yararlanan saldırganlar, aynı hesaba bağlı iPhone’lara veya iPad’lere dolaylı bilgiler de kazanabilir.
Bu, Apple’ın ele aldığı ilk TCC bypass değil. Powerdir ve HM-Surf gibi önceki örnekler farklı sistem bileşenlerine dayanıyordu, ancak Sploitlight’ın spotlight ithalatçılarını kullanması saldırıyı hem ince hem de etkili hale getiriyor. Güvenilir işletim sistemi bileşenleri arasındaki çizgileri ve kullanıcı tarafından kontrol edilen kaynaklardan neler enjekte edilebileceğini bulanıklaştırır.
Bir MAC kullanıyorsanız, özellikle Apple Intelligence özelliklerine sahip bir tane kullanıyorsanız, sisteminizin güncel olduğundan emin olun. CVE-2025-31199 için düzeltme canlı ve kullanılabilir ve uygulamak bu çok özel veri hırsızlığı yolunu kapatır.