Breșa, identificată ca CVE-2024-44131 (scor CVSS: 5.3), se află în componenta FileProvider, conform Apple, și a fost soluționată prin validarea îmbunătățită a legăturilor simbolice (symlinks) în iOS 18, iPadOS 18 și macOS Sequoia 15.

Jamf Threat Labs, care a descoperit și raportat breșa, a declarat că ocolirea TCC ar putea fi exploatată de un agent fals instalat pe sistem pentru a prelua date sensibile fără știrea utilizatorilor.

TCC servește ca o protecție de securitate critică în dispozitivele Apple, oferind utilizatorilor finali o modalitate de a permite sau de a refuza o cerere din partea aplicațiilor de a accesa date sensibile, cum ar fi locația GPS, contactele și fotografiile, printre altele.

„Această ocolire a TCC permite accesul neautorizat la fișiere și foldere, date despre sănătate, microfon sau cameră și multe altele, fără a alerta utilizatorii”, a declarat compania. „Acest lucru subminează încrederea utilizatorilor în securitatea dispozitivelor iOS și expune la risc datele personale”.

În esență, vulnerabilitatea permite unei aplicații rău intenționate care rulează în fundal să intercepteze acțiunile efectuate de utilizator pentru a copia sau muta fișiere în cadrul aplicației Fișiere și să le redirecționeze către o locație aflată sub controlul său.

Această deturnare funcționează profitând de privilegiile ridicate ale fileproviderd, un demon care gestionează operațiunile cu fișiere asociate cu iCloud și cu alți gestionari de fișiere în cloud terți, pentru a muta fișierele, după care acestea pot fi încărcate pe un server de la distanță.

„În mod specific, atunci când un utilizator mută sau copiază fișiere sau directoare utilizând Files.app într-un director accesibil de o aplicație rău intenționată care rulează în fundal, atacatorul poate manipula linkurile simbolice pentru a înșela aplicația Files”, a declarat Jamf.

„Noua metodă de atac symlink copiază mai întâi un fișier nevinovat, oferind un semnal detectabil unui proces rău intenționat că a început copierea. Apoi, un link simbolic este introdus după ce procesul de copiere este deja în desfășurare, ocolind efectiv verificarea linkului simbolic”.

Prin urmare, un atacator ar putea utiliza această metodă pentru a copia, muta sau chiar șterge diverse fișiere și directoare din calea „/var/mobile/Library/Mobile Documents/” pentru a accesa datele de backup iCloud asociate atât cu primele aplicații, cât și cu aplicații terțe și pentru a le exfiltra.

Ceea ce este semnificativ în legătură cu această lacună este faptul că subminează în întregime cadrul TCC și nu declanșează nicio solicitare către utilizator. Acestea fiind spuse, tipul de date care pot fi accesate depinde de procesul de sistem care execută operațiunea de fișier.

„Gravitatea acestor vulnerabilități depinde de privilegiile procesului vizat”, a declarat Jamf. „Acest lucru relevă o lacună în aplicarea controlului accesului pentru anumite tipuri de date, deoarece nu toate datele pot fi extrase fără alertă din cauza acestei condiții de cursă”.

„De exemplu, datele din foldere protejate prin UUID-uri atribuite aleatoriu și datele extrase prin API-uri specifice rămân neafectate de acest tip de atac.”

Dezvoltarea vine ca Apple a lansat actualizări pentru toate software-ul său pentru a remedia mai multe probleme, inclusiv patru defecte în WebKit, care ar putea duce la corupția memoriei sau blocarea procesului, și o vulnerabilitate logică în Audio (CVE-2024-54529), care ar putea permite unei aplicații să execute cod arbitrar cu privilegii kernel.

De asemenea, producătorul iPhone a remediat o eroare în Safari (CVE-2024-44246) care ar putea permite unui site web să afle adresa IP de origine atunci când îl adaugă la lista de lectură pe un dispozitiv cu funcția Private Relay activată. Apple a declarat că a remediat problema prin „îmbunătățirea direcționării cererilor provenite din Safari”.

Sursa: thehackernews.com