Злоумышленники могут использовать недавно устраненную уязвимость в macOS для обхода системы безопасности Transparency, Consent, and Control (TCC) и кражи конфиденциальной информации пользователей, включая кэшированные данные Apple Intelligence.
TCC — это система защиты конфиденциальности, которая контролирует доступ приложений к личным данным пользователя, предоставляя macOS возможность управлять, кто и как использует эти данные на устройствах Apple.
Apple устранила уязвимость CVE-2025-31199 в обновлении macOS Sequoia 15.4, выпущенном в марте. Ее обнаружили специалисты Microsoft — Джонатан Бар Ор (Jonathan Bar Or), Алексия Уилсон (Alexia Wilson) и Кристин Фоссачека (Christine Fossaceca). При этом в патче была реализована «улучшенная система сокрытия данных».
Хотя Apple позволяет доступ к TCC только приложениям с полным доступом к диску и блокирует несанкционированный код, исследователи Microsoft обнаружили, что злоумышленники могут использовать привилегии плагинов Spotlight для получения доступа к чувствительным данным и их кражи.
В отчете описывается, как уязвимость, названная Sploitlight (Apple описывает ее как «проблему журналирования»), позволяет собирать данные, связанные с Apple Intelligence, а также информацию об устройствах, привязанных к одной учетной записи iCloud.
Среди возможных утечек:
- Метаданные фото и видео,
- Точные геоданные,
- Информация о распознавании лиц и людей,
- История действий пользователя,
- Контекст событий,
- Альбомы и общие библиотеки фото,
- История поиска и пользовательские предпочтения,
- Удаленные фото и видео.
С 2020 года Apple уже устраняла похожие обходы TCC, включая:
- Уязвимость в точках монтирования Time Machine (CVE-2020-9771),
- Подмену переменных среды (CVE-2020-9934),
- Проблему определения пакетов (CVE-2021-30713).
Microsoft ранее обнаруживала уязвимости powerdir (CVE-2021-30970) и HM-Surf, позволяющие получить доступ к личным данным пользователей.
Microsoft сообщает:
Хотя данная уязвимость похожа на предыдущие обходы TCC, такие как HM-Surf и powerdir, ее последствия гораздо серьезнее. Мы называем ее Sploitlight из-за использования плагинов Spotlight, и она позволяет извлекать и передавать конфиденциальную информацию, кэшированную Apple Intelligence, включая точные геоданные, метаданные фото и видео, данные распознавания лиц и людей, историю поиска, пользовательские предпочтения и многое другое
Риски усугубляются функцией удаленной синхронизации устройств в рамках одного аккаунта iCloud— злоумышленник может получить информацию и о других устройствах пользователя.
В последние годы исследователи безопасности Microsoft выявили ряд других серьезных уязвимостей в macOS, включая обход SIP под названием Shrootless (CVE-2021-30892), о котором сообщили в 2021 году. Эта уязвимость позволяет злоумышленникам устанавливать руткиты на скомпрометированные устройства Mac.
Совсем недавно обнаружен еще один обход SIP под названием Migraine (CVE-2023-32369), а также уязвимость под названием Achilles (CVE-2022-42821). Обе проблемы безопасности могут использоваться для установки вредоносного ПО через ненадежные приложения, обходящие ограничения выполнения, наложенные Gatekeeper.
Угрозы безопасности
• Новая вредоносная программа HybridPetya научилась обходить защиту UEFI Secure Boot
• В даркнете растёт рынок аренды аккаунтов мессенжера Max
• Apple предупреждает пользователей о целевых атаках шпионского ПО
• Новая уязвимость «нулевого дня» в роутерах TP-Link. CISA также предупреждает об активной эксплуатации других ошибок
• Google опровергает сообщения о крупной угрозе безопасности Gmail для 2,5 млрд пользователей
• WhatsApp закрыл критическую уязвимость в приложениях для iOS и macOS