ウェズリー・ヒリアード
· 1分で読めます
Appleのショートカットアプリ
Bitdefender が行った調査によると、iOS 17.3 アップデートより前は、悪意のあるショートカットによって写真などの機密データがキャプチャされ、攻撃者に送信される可能性がありました。
iOS、iPadOS、macOSにはショートカットが組み込まれており、ユーザーに自動化を構築するためのフックを提供します。これらのショートカットはリンクを介してユーザー間で共有できるため、悪意のあるショートカットが広く共有される可能性があります。
AppleInsiderが閲覧したBitdefenderの調査によると、ショートカットのユーザーが何も知らない場合、データ盗難からユーザーを保護するための透明性、同意、および制御(TCC)システムの脆弱性を攻撃するショートカットを入手する可能性があることが判明しました。通常、TCCのプロンプトは、アプリやショートカットが機密情報やシステムリソースにアクセスしようとした際に表示されますが、今回の脆弱性はこのチェックを回避していました。
「URL展開」機能を利用する悪意のあるショートカットは、TCCを回避し、写真、連絡先、ファイル、クリップボードデータなどのBase64エンコードされたデータをウェブサイトに送信する可能性があります。攻撃者側のFlaskプログラムは、送信されたデータをキャプチャして保存し、悪用される可能性があります。
デバイスにダウンロードされた新しいショートカットをきちんと確認していれば、この問題は回避できたはずです。ショートカット内ではアクションを実行する手順は確認できますが、何を探せばいいのかわからない人には、特にショートカットに数百ものアクションが含まれる場合があるため、すぐには目立たない可能性があります。
Apple はこの問題に CVE-2024-23204 を割り当てました。
ショートカットの脆弱性から身を守る方法
?
この脆弱性による問題を回避する最も簡単な方法は、アップデートすることです。最新のオペレーティングシステムでは、追加の権限チェックによってこの問題を修正しています。
ショートカットの脆弱性を修正するには、iOS 17.3、iPadOS 17.3、またはmacOS Sonoma 14.3にアップデートしてください。Bitdefenderはこの問題をCVSSスコア10点満点中7.5点と分類し、深刻度が非常に高い脆弱性としています。
