Microsoft Tehdit İstihbaratı, saldırganların Apple’ın şeffaflığını, rızasını ve kontrol (TCC) çerçevesini atlamasını sağlayan kritik bir macOS güvenlik açığını ortaya çıkardı, potansiyel olarak gizlilik kontrolleri ve Apple Intelligence tarafından önbelleğe alınan bilgiler de dahil olmak üzere hassas kullanıcı verilerini açığa çıkardı.
Güvenlik Açığı Genel Bakış
Microsoft araştırmacıları tarafından “Sploitlight” olarak adlandırılan yeni keşfedilen güvenlik açığı, TCC kısıtlamalarının normal olarak koruması gereken özel dosyalara erişmek için Spotlight eklentilerinden yararlanır.
HM-Surf ve Powerdir gibi önceki TCC bypass’larının aksine, bu güvenlik açığı, kesin coğrafi konum verileri, fotoğraf ve video meta verileri, yüz tanıma verileri, arama geçmişi ve kullanıcı tercihleri de dahil olmak üzere Apple Intelligence tarafından önbelleğe alınan hassas bilgileri çıkarma yeteneği nedeniyle daha ciddi riskler oluşturmaktadır.
| Alan | Detaylar |
| CVE kimliği | CVE-2025-31199 |
| Keşif tarihi | Proaktif tehdit avı sırasında keşfedildi |
| Açıklama yöntemi | Koordineli Güvenlik Açığı Açıklaması (CVD) |
| Etkilenen sistemler | MacOS Sequoia ve önceki sürümler |
| Yama Çıkış Tarihi | 31 Mart 2025 |
| Şiddet seviyesi | Yüksek (TCC bypass ve AI veri maruziyeti nedeniyle) |
| Saldırı vektörü | Yerel erişim gerekli |
| Keşifçi | Microsoft Güvenlik Açığı Araştırması (MSVR) |
Güvenlik açığı, özellikle iCloud hesapları arasındaki uzaktan bağlantı özelliği nedeniyle ilgilidir, yani bir macOS cihazına erişimi olan bir saldırgan, aynı iCloud hesabına bağlı diğer cihazlardan bilgi toplamak için kusurdan potansiyel olarak kullanabilir.
Exploit, arama işlevselliği için dizin almasına yardımcı olmak için tasarlanmış bir .mDimporter sonek ile biten macOS paketleri olan Spotlight ithalatçılarından yararlanır.
Bu eklentiler normalde ağır sanal alan kısıtlamaları altında çalışır, yalnızca taranan belirli dosyayı okumasına izin verir.
Bununla birlikte, Microsoft araştırmacıları, saldırganların birleşik günlük sistemine verileri günlüğe kaydederek dosya içeriğini eklemek için bu eklentileri manipüle edebileceğini keşfetti.
Saldırı işlemi, hedef dosya türlerini bildirmek için paketin yapılandırma dosyalarının değiştirilmesini, kötü amaçlı demeti ~/kütüphane/spotlight dizine kopyalamayı ve korumalı dosyaları taramak ve sızdırmak için MDIMport komutlarını kullanmayı içerir.
Özellikle, kötü niyetli demet kod imzalamasını gerektirmez, bu da saldırıyı yürütülmesi nispeten basit hale getirir.
Güvenlik açığı, Pictures klasörü gibi korumalı dizinlerde depolanan Apple Intelligence önbellek dosyalarını hedeflerken özellikle tehlikeli hale gelir.
Bu veritabanı dosyaları, ayrıntılı kullanıcı davranışı kalıpları ve gözetim veya kimlik hırsızlığı amaçları için kullanılabilecek cihaz kullanım verileri de dahil olmak üzere Apple’ın AI sistemi tarafından işlenen son derece hassas bilgiler içerir.
Apple, 31 Mart 2025 güvenlik güncellemelerinin bir parçası olarak bu güvenlik açığını ele alan MacOS Sequoia için güvenlik güncellemeleri yayınladı.
Şirket, gerekli düzeltmeleri geliştirmek ve dağıtmak için koordineli açıklama süreçleri aracılığıyla Microsoft ile işbirliği içinde çalıştı.
Güvenlik uzmanları, tüm MacOS kullanıcılarının bu güvenlik açığının potansiyel kullanımı karşısında korunmak için en son güvenlik güncellemelerini hemen uygulamalarını şiddetle tavsiye eder.
Kuruluşlar, hassas verileri işleyen veya Apple istihbarat özelliklerini etkinleştiren yama sistemlerine öncelik vermelidir, çünkü bu ortamlar bu saldırı vektöründen en yüksek riskle karşılaşır.
Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!