Stando a quanto emerso da una ricerca condotta da Bitdefender, la nota software house produttrice di soluzioni antivirus, prima che Apple rilasciasse iOS 17.3 per iPhone, l’app Comandi presentava una grave vulnerabilità, con un punteggio CVSS di 7,5 su 10, che poteva mettere a serio rischio la privacy e la sicurezza degli utenti.
Apple: uno shortcuts dannoso poteva acquisire dati sensibili
Andando più in dettaglio, uno shortcuts dannoso poteva acquisire dati sensibili come foto e inviarli a un utente malintenzionato.
Gli shortcuts sono integrati in iOS, iPadOS e macOS per fornire funzioni finalizzate alla creazione delle automazioni. Possono essere condivisi tra gli utenti tramite un collegamento, il che può portare alla condivisione diffusa di uno shortcuts dannoso.
Un utente ignaro poteva quindi avviare uno shortcuts che sfruttava una vulnerabilità nel sistema di trasparenza, consenso e controllo (TCC) inteso a proteggere dal furto di dati. In genere, i messaggi TCC vengono visualizzati quando un’app o un collegamento tenta di accedere a informazioni riservate o risorse di sistema, ma la vulnerabilità evitava questo controllo sfruttando la funzione “Espandi URL” e trasmettendo dati con codifica base64 di foto, contatti, file o dati della clipboard a un sito Web. Un programma Flask gestito dell’aggressore catturava e memorizzava i dati trasmessi per poterli sfruttare.
Da tenere presente che i passaggi per eseguire le azioni sono visibili all’interno dello shortcuts, ma per chi non sa bene cosa cercare potrebbero non essere così evidenti, in special modo in virtù del fatto che alcuni comandi possono contare innumerevoli azioni.
Ovviamente, il miglior modo per proteggersi dalla falla è quello di effettuare l’aggiornamento dei dispositivi. Inoltre, i sistemi operativi più recenti hanno risolto il problema con ulteriori controlli dei permessi.
Ti potrebbe interessare
23 feb 2024