Злоумышленники могут использовать недавно устраненную уязвимость в macOS для обхода системы безопасности Transparency, Consent, and Control (TCC) и кражи конфиденциальной информации пользователей, включая кэшированные данные Apple Intelligence.
TCC — это система защиты конфиденциальности, которая контролирует доступ приложений к личным данным пользователя, предоставляя macOS возможность управлять, кто и как использует эти данные на устройствах Apple.
Apple устранила уязвимость CVE-2025-31199 в обновлении macOS Sequoia 15.4, выпущенном в марте. Ее обнаружили специалисты Microsoft — Джонатан Бар Ор (Jonathan Bar Or), Алексия Уилсон (Alexia Wilson) и Кристин Фоссачека (Christine Fossaceca). При этом в патче была реализована «улучшенная система сокрытия данных».
Хотя Apple позволяет доступ к TCC только приложениям с полным доступом к диску и блокирует несанкционированный код, исследователи Microsoft обнаружили, что злоумышленники могут использовать привилегии плагинов Spotlight для получения доступа к чувствительным данным и их кражи.
В отчете описывается, как уязвимость, названная Sploitlight (Apple описывает ее как «проблему журналирования»), позволяет собирать данные, связанные с Apple Intelligence, а также информацию об устройствах, привязанных к одной учетной записи iCloud.
Среди возможных утечек:
- Метаданные фото и видео,
- Точные геоданные,
- Информация о распознавании лиц и людей,
- История действий пользователя,
- Контекст событий,
- Альбомы и общие библиотеки фото,
- История поиска и пользовательские предпочтения,
- Удаленные фото и видео.
С 2020 года Apple уже устраняла похожие обходы TCC, включая:
- Уязвимость в точках монтирования Time Machine (CVE-2020-9771),
- Подмену переменных среды (CVE-2020-9934),
- Проблему определения пакетов (CVE-2021-30713).
Microsoft ранее обнаруживала уязвимости powerdir (CVE-2021-30970) и HM-Surf, позволяющие получить доступ к личным данным пользователей.
Microsoft сообщает:
Хотя данная уязвимость похожа на предыдущие обходы TCC, такие как HM-Surf и powerdir, ее последствия гораздо серьезнее. Мы называем ее Sploitlight из-за использования плагинов Spotlight, и она позволяет извлекать и передавать конфиденциальную информацию, кэшированную Apple Intelligence, включая точные геоданные, метаданные фото и видео, данные распознавания лиц и людей, историю поиска, пользовательские предпочтения и многое другое
Риски усугубляются функцией удаленной синхронизации устройств в рамках одного аккаунта iCloud— злоумышленник может получить информацию и о других устройствах пользователя.
В последние годы исследователи безопасности Microsoft выявили ряд других серьезных уязвимостей в macOS, включая обход SIP под названием Shrootless (CVE-2021-30892), о котором сообщили в 2021 году. Эта уязвимость позволяет злоумышленникам устанавливать руткиты на скомпрометированные устройства Mac.
Совсем недавно обнаружен еще один обход SIP под названием Migraine (CVE-2023-32369), а также уязвимость под названием Achilles (CVE-2022-42821). Обе проблемы безопасности могут использоваться для установки вредоносного ПО через ненадежные приложения, обходящие ограничения выполнения, наложенные Gatekeeper.
Угрозы безопасности
• На маркетплейсе Microsoft VS Code обнаружено расширение-вымогатель, созданное с помощью ИИ
• Google предупреждает: ИИ-вредоносы обходят антивирусы, создают дипфейки и автоматизируют фишинговые атаки
• CISA: уязвимость в Linux используется в атаках с вымогательским ПО
• Новая волна атак: инфостилер RedTiger нацелился на пользователей Discord
• TP-Link предупреждает о критической уязвимости внедрения команд в шлюзах Omada
• Сайт Xubuntu взломали: вместо установочного файла распространялся вирус для Windows