Secondo una ricerca condotta da Bitdefender, prima dell’aggiornamento iOS 17.3 uno Shortcuts dannoso poteva acquisire dati sensibili come foto e inviarli a un utente malintenzionato.
Gli Shortcuts sono integrati in iOS, iPadOS e macOS per fornire funzioni finalizzate alla creazione delle automazioni. Questi Shortcuts possono essere condivisi tra gli utenti tramite un collegamento, il che può portare alla condivisione diffusa di uno Shortcuts dannoso.
Bitdefender ha scoperto che un utente ignaro potrebbe avviare uno Shortcuts che sfrutta una vulnerabilità nel sistema di trasparenza, consenso e controllo (TCC) inteso a proteggere gli utenti dal furto di dati. La vulnerabilità evita il controllo dei messaggi TCC, che di solito vengono visualizzati quando un’app o un collegamento tenta di accedere a informazioni riservate o risorse di sistema.
Uno Shortcuts dannoso che utilizza la funzione “Espandi URL” potrebbe aggirare il TCC e trasmettere dati con codifica base64 di foto, contatti, file o dati della clipboard a un sito Web. Un programma Flask gestito dall’aggressore catturerebbe e memorizzerebbe i dati trasmessi per poterli sfruttare.
I passaggi per eseguire le azioni sono visibili all’interno dello Shortcuts, ma potrebbero non essere evidenti a chi non sa cosa cercare, soprattutto perché alcuni comandi possono avere centinaia di azioni.
La soluzione più semplice per evitare problemi con la vulnerabilità è aggiornare i dispositivi. I sistemi operativi più recenti hanno risolto il problema con ulteriori controlli dei permessi.
Per correggere la vulnerabilità degli Shortcuts, è consigliabile aggiornare a iOS 17.3, iPadOS 17.3 o macOS Sonoma 14.3. Bitdefender ha classificato il problema con un punteggio CVSS di 7,5 su 10, per cui si tratta di una vulnerabilità di gravità molto elevata.
Scoperta una vulnerabilità negli Shortcuts di Apple
Un’indagine condotta da Bitdefender ha rivelato che prima dell’aggiornamento iOS 17.3, uno Shortcuts dannoso poteva accedere a dati sensibili come le foto e inviarli a un utente malintenzionato. Gli Shortcuts sono funzioni integrate in iOS, iPadOS e macOS per creare automazioni e possono essere condivisi tra gli utenti tramite un collegamento, il che può portare alla diffusione di Shortcuts dannosi. Secondo Bitdefender, un utente ignaro potrebbe avviare un Shortcuts dannoso che sfrutta una vulnerabilità nel sistema di trasparenza, consenso e controllo (TCC) per rubare dati sensibili. Tale vulnerabilità evita il controllo dei messaggi TCC e un Shortcuts dannoso può aggirare il TCC e trasmettere dati sensibili a un sito web. La soluzione per proteggersi da questa vulnerabilità è aggiornare a iOS 17.3, iPadOS 17.3 o macOS Sonoma 14.3. Secondo Bitdefender, il problema ha un punteggio di gravità molto elevata.
