Microsoft: Уязвимость Sploitlight в macOS раскрывает данные Apple Intelligence

Злоумышленники могут использовать недавно устраненную уязвимость в macOS для обхода системы безопасности Transparency, Consent, and Control (TCC) и кражи конфиденциальной информации пользователей, включая кэшированные данные Apple Intelligence.

TCC — это система защиты конфиденциальности, которая контролирует доступ приложений к личным данным пользователя, предоставляя macOS возможность управлять, кто и как использует эти данные на устройствах Apple.

Apple устранила уязвимость CVE-2025-31199 в обновлении macOS Sequoia 15.4, выпущенном в марте. Ее обнаружили специалисты Microsoft — Джонатан Бар Ор (Jonathan Bar Or), Алексия Уилсон (Alexia Wilson) и Кристин Фоссачека (Christine Fossaceca). При этом в патче была реализована «улучшенная система сокрытия данных».

Хотя Apple позволяет доступ к TCC только приложениям с полным доступом к диску и блокирует несанкционированный код, исследователи Microsoft обнаружили, что злоумышленники могут использовать привилегии плагинов Spotlight для получения доступа к чувствительным данным и их кражи.

В отчете описывается, как уязвимость, названная Sploitlight (Apple описывает ее как «проблему журналирования»), позволяет собирать данные, связанные с Apple Intelligence, а также информацию об устройствах, привязанных к одной учетной записи iCloud.

Среди возможных утечек:

• Метаданные фото и видео,
• Точные геоданные,
• Информация о распознавании лиц и людей,
• История действий пользователя,
• Контекст событий,
• Альбомы и общие библиотеки фото,
• История поиска и пользовательские предпочтения,
• Удаленные фото и видео.

С 2020 года Apple уже устраняла похожие обходы TCC, включая:

• Уязвимость в точках монтирования Time Machine (CVE-2020-9771),
• Подмену переменных среды (CVE-2020-9934),
• Проблему определения пакетов (CVE-2021-30713).

Microsoft ранее обнаруживала уязвимости powerdir (CVE-2021-30970) и HM-Surf, позволяющие получить доступ к личным данным пользователей.

Microsoft сообщает:

Хотя данная уязвимость похожа на предыдущие обходы TCC, такие как HM-Surf и powerdir, ее последствия гораздо серьезнее. Мы называем ее Sploitlight из-за использования плагинов Spotlight, и она позволяет извлекать и передавать конфиденциальную информацию, кэшированную Apple Intelligence, включая точные геоданные, метаданные фото и видео, данные распознавания лиц и людей, историю поиска, пользовательские предпочтения и многое другое

Риски усугубляются функцией удаленной синхронизации устройств в рамках одного аккаунта iCloud— злоумышленник может получить информацию и о других устройствах пользователя.

В последние годы исследователи безопасности Microsoft выявили ряд других серьезных уязвимостей в macOS, включая обход SIP под названием Shrootless (CVE-2021-30892), о котором сообщили в 2021 году. Эта уязвимость позволяет злоумышленникам устанавливать руткиты на скомпрометированные устройства Mac.

Совсем недавно обнаружен еще один обход SIP под названием Migraine (CVE-2023-32369), а также уязвимость под названием Achilles (CVE-2022-42821). Обе проблемы безопасности могут использоваться для установки вредоносного ПО через ненадежные приложения, обходящие ограничения выполнения, наложенные Gatekeeper.