Microsoft ha divulgato una vulnerabilità critica nei macOS che consente agli aggressori di bypassare le protezioni della privacy di base e rubare dati sensibili agli utenti. Il difetto, soprannominato”Sploitlight”dai suoi ricercatori, sfrutta la funzione di ricerca dei riflettori del sistema operativo per eludere il framework di trasparenza, consenso e controllo (TCC).
Questo può esporre file privati e, in modo più allarmante, i dati memorizzati nella intelligenza di Apple. La vulnerabilità, monitorato come CVE-2025-31199 , evidenzia un rischio significativo in come macos gestisce le operazioni privilegiate, persino nel suo slacciato di sabbia. Divulgazione coordinata, Apple ha affrontato la vulnerabilità in un aggiornamento di sicurezza per macOS sequoia il 31 marzo 2025 . La scoperta sottolinea i gravi rischi per la privacy legati ai componenti del sistema affidabili e il potenziale per l’esposizione dei dati del dispositivo incrociato tramite iCloud.
the spoitlight”sfruttallighing”sfruttallighing”Exploitlight”ExploitLight”ExploitLight”ExploitLight”Rappresenta un abuso intelligente di una funzionalità fondamentale macOS. L’attacco si rivolge a trasparenza, consenso e controllo (TCC) Framework Secondo il rapporto di Microsoft, gli aggressori possono bypassarlo creando un plug-in per l’importatore di riflettori dannosi.
Questi plugin, che utilizzano un suffisso.mdimporter, sono normalmente utilizzati per aiutare a mettere in evidenza indicizzati diversi tipi di file. Un utente malintenzionato con accesso locale può far cadere un plug-in dannoso nella cartella della libreria di un utente. Fondamentalmente, il pacchetto di plug-in non deve essere firmato, abbassando la barra per un attacco.
Quando il servizio di indicizzazione di Spotlight (MDS DAMEM) incontra un tipo di file che il plugin afferma di gestire, esegue il codice del plug-in all’interno di un processo MDWorker di sabbia. Sebbene fortemente limitato, il team di Microsoft ha scoperto che questo sandbox non era sufficiente. Il plug-in potrebbe ancora espellere il contenuto del file, ad esempio scrivendo i dati in blocchi nel registro unificato del sistema.
Questo metodo consente agli aggressori di leggere i file dalle cartelle download, desktop o immagini senza mai attivare un prompt del consenso dell’utente. Questa scoperta segue altri bypass TCC trovati da Microsoft, come il difetto”HM-Surf”patchato in precedenza.
I dati di intelligence di Apple e la sincronizzazione iCloud ingrandiscono la minaccia
Il vero pericolo di”Sploitlight”in ciò che può accedere. La vulnerabilità non riguarda solo i singoli file; Riguarda i dati ricchi e aggregati curati da Apple Intelligence. L’intelligenza delle minacce di Microsoft ha avvertito che”… le implicazioni di questa vulnerabilità… sono più gravi a causa della sua capacità di estrarre e perdere informazioni sensibili nella cache di Apple Intelligence, come dati di geolocalizzazione precisa, metadati fotografici e video…”.
Questo accesso alle cache di intelligenza Apple, come il database di foto. Gli aggressori potrebbero ricostruire i movimenti di un utente, identificare i soci attraverso i dati di riconoscimento facciale e visualizzare la propria attività dell’utente e la cronologia della ricerca all’interno dell’app Foto.
Il rischio si estende oltre un singolo dispositivo. I ricercatori di Microsoft hanno osservato che”… un utente malintenzionato con l’accesso al dispositivo MACOS di un utente potrebbe anche sfruttare la vulnerabilità per determinare le informazioni remote di altri dispositivi collegati allo stesso account iCloud”. Poiché i metadati come i tag Face possono propagarsi tra i dispositivi che hanno effettuato l’accesso allo stesso account iCloud, compromettere un Mac potrebbe rivelare informazioni provenienti dall’iPhone di un utente.
Questa implicazione del dispositivo incrociato aumenta significativamente la posta in gioco. Microsoft minaccia l’intelligence ha dichiarato:”La capacità di esfiltrarsi ulteriormente dai dati privati dalle directory protette… è particolarmente allarmante a causa della natura altamente sensibile delle informazioni che possono essere estratte…”.
Divulgazione coordinata e patch di Apple
in linea con i bestiame del settore, l’intelligenza di minaccia microsoft ha condiviso la sua mela in mela in Applanged vulnerata con la patch di Apple
in linea con i bestiame del settore, l’intelligenza di MicroSoft ha condiviso la sua mela in mela in mela e la patch di Apple
in linea con i bestiame del settore, l’intelligenza di MicroSoft ha condiviso la sua mela in mela in mela in Applanged). Questa collaborazione ha dato a Apple il tempo di sviluppare e emettere una soluzione prima che la vulnerabilità diventasse conoscenza del pubblico, mitigando il rischio per gli utenti MacOS.
Apple ha rilasciato una patch che si rivolge a CVE-2025-31199 il 31 marzo 2025, nell’ambito degli aggiornamenti di sicurezza per MacOS Sequoia. Gli utenti sono fortemente incoraggiati a garantire che i loro sistemi siano aggiornati. Questa non è la prima volta che Microsoft ha contribuito a proteggere l’ecosistema di Apple, avendo precedentemente segnalato difetti in System Integrity Protection (SIP).
Microsoft nota che i suoi ricercatori hanno trovato il bypass durante la caccia proattiva per i processi con diritto privilegiato. Ciò gli ha permesso di migliorare il suo difensore per la soluzione di sicurezza endpoint per rilevare attività sospette relative a questo exploit. La piattaforma ora monitora per installazioni anomali.mdimporter e indicizzazione insolita di directory sensibili.
Questa difesa proattiva è cruciale. Come ha concluso il team di Microsoft,”comprendendo gli impatti più ampi di questi problemi di sicurezza, possiamo difendere meglio gli utenti e garantire la loro sicurezza digitale”. L’incidente serve da promemoria del continuo sforzo richiesto per garantire sistemi operativi complessi contro determinati avversari.