Kritik bir macOS güvenlik açığı, saldırganların şeffaflık, rıza ve kontrol (TCC) korumalarını atlamasını ve korumalı dizinlerden ve Apple istihbarat önbelleklerinden gelen dosyalar da dahil olmak üzere hassas kullanıcı verilerini çalmasını sağlar.
“Sploitlight” olarak adlandırılan güvenlik açığı, MacOS kullanıcıları için önemli gizlilik riskleri oluşturarak, kullanıcı izni olmadan normal korunan bilgilere erişmek için Spotlight eklentilerinden yararlanır.
Key Takeaways
1. The "Sploitlight" flaw let attackers steal sensitive macOS data.
2. Attackers could access private files across devices linked to the same iCloud account.
3. Apple fixed the issue (CVE-2025-31199) in March 2025
Spotlight eklenti sömürü mekanizması
Microsoft Tehdit İstihbaratı, güvenlik açığının Spotlight İthalatçılarından yararlandığını bildirir – Sistem içeriğini arama işlevselliği için dizine eklemeye yardımcı olan .MDIMporter uzantılı eklentiler.
Bu eklentiler, endeksleme amacıyla hassas dosyalara ayrıcalıklı erişime sahip MDS Daemon ve MDworker görevleri aracılığıyla çalışır.
Ancak araştırmacılar, saldırganların korunan verileri dışarı atmak için bu eklentileri manipüle edebileceğini keşfettiler.
Saldırı işlemi, bir eklentinin INFO.PLIST ve Schema.xml dosyalarını, UTI (Tekdüzen Tür Tanımlayıcı) biçiminde hedef dosya türlerini bildirmek için değiştirmeyi içerir.
Saldırganlar daha sonra imzasız paketi ~/kütüphane/spotlight dizinine kopyalayabilir ve spot ışığı kötü niyetli eklentiyi yüklemeye zorlamak için mDimport -r gibi komutları kullanabilir.
Sustam Log, içerikleri birleştirilmiş birleştirme parçalarına göre, günlük yardımcı programı aracılığıyla hassas verilerin çıkarılmasına izin verir.
Özellikle, çağrı uygulaması TCC izinleri gerektirmez, çünkü dizinleme MDworker görevi tarafından gerçekleştirilerek Apple’ın güvenlik çerçevesini etkili bir şekilde atlar.
UtType yardımcı programı, TCC erişimi olmadan bile dosya türlerini belirleyebilir ve saldırıyı daha çok yönlü hale getirir.
Güvenlik açığının sonuçları, özellikle resimler gibi korunan dizinlerde depolanan Apple istihbarat önbelleklerini etkileyen temel dosya erişiminin ötesine uzanır.
Saldırganlar, hassas GPS koordinatları, yüz tanıma verileri, fotoğraf meta verileri, arama geçmişi ve kullanıcı tercihleri dahil olmak üzere Photos.sqlite gibi veritabanlarından son derece hassas bilgiler çıkarabilir.
İhlal, bir macOS cihazına erişen saldırganların aynı iCloud hesabına bağlı diğer cihazlar hakkında potansiyel olarak bilgi toplayabileceği iCloud hesabı bağlantısı nedeniyle daha çok ilgili hale gelir. Bu, Apple cihazlarında yayılan yüz etiketleme ve meta verileri içerir.
Apple, 31 Mart 2025’te piyasaya sürülen MacOS Sequoia için güvenlik güncellemelerinde CVE-2025-31199 olarak izlenen bu güvenlik açığını ele aldı.
Endpoint için Microsoft Defender, şüpheli .MDIMporter paket kurulumlarını ve hassas dizinlerin anormal indekslenmesini tanımlamak için algılama özelliklerini geliştirmiştir.
Kullanıcılara, kullanıcı gizliliği ve veri güvenliği için önemli bir tehdidi temsil eden bu TCC bypass güvenlik açığına karşı korunmak için Apple’ın güvenlik güncellemelerini hemen uygulamaları tavsiye edilir.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi