Microsoftは、攻撃者がコアプライバシー保護をバイパスし、敏感なユーザーデータを盗むことを可能にするMacOSの重大な脆弱性を明らかにしました。研究者によって「sploitlight」と呼ばれる欠陥は、オペレーティングシステムのスポットライト検索機能を活用して、透明性、同意、および制御(TCC)フレームワークを回避します。
これにより、プライベートファイルが公開されます。脆弱性、 CVE-2025-31199 調整された開示では、Appleはa 2025年3月31日のMacos Sequoiaのセキュリティアップデートの脆弱性に対処しました。この発見は、信頼できるシステムコンポーネントに関連する深刻なプライバシーリスクと、iCloudを介したクロスデバイスデータエクスポージャーの可能性を強調しています。セキュリティリスクへ基本的なMacOS機能の。 The attack targets Apple’s Transparency, Consent, and Control (TCC) framework, the very system designed to prevent unauthorized access to private data. Microsoftのレポートによると、攻撃者は悪意のあるSpotlight Importerプラグインを作成することでそれをバイパスできます。
これらのプラグインは、.mdimporterの接尾辞を使用しますが、通常、インデックスの異なるファイルタイプのスポットライトを当てるのに役立ちます。ローカルアクセスを備えた攻撃者は、悪意のあるプラグインをユーザーのライブラリフォルダーにドロップできます。重要なことに、プラグインバンドルに署名する必要はなく、攻撃のためにバーを下げる必要はありません。
スポットライトのインデックス作成サービス(MDSデーモン)が、プラグインが処理すると主張するファイルタイプに遭遇すると、サンドボックス化されたMDWorkerプロセス内でプラグインのコードを実行します。 Microsoftのチームは、大幅に制限されていますが、このサンドボックスでは十分ではないことがわかりました。たとえば、システムの統合ログにチャンクでデータを書き込むことにより、プラグインはファイルの内容を除外することができます。
このメソッドにより、攻撃者は、ユーザーの同意プロンプトをトリガーすることなく、ダウンロード、デスクトップ、または写真フォルダーからファイルを読み取ることができます。この発見は、Microsoftによって発見された他のTCCバイパスに続きます。たとえば、以前にパッチした「HMサーフ」の欠陥など。脆弱性は、個々のファイルだけではありません。 Apple Intelligenceによってキュレーションされた豊かで集約されたデータについてです。 Microsoft Threat Intelligenceは、「…この脆弱性の意味は、Photo.sqliteデータベースのように、Apple Intelligence Cachesへのこのアクセスなど、正確な地理情報、写真、ビデオメタデータなど、Apple Intelligenceによってキャッシュされた敏感な情報を抽出およびリークする能力により、より深刻です。攻撃者は、ユーザーの動きを再構築し、顔認識データを介してアソシエイトを特定し、写真アプリ内でユーザーアクティビティと検索履歴を表示できます。
リスクは単一のデバイスを超えて拡張されます。 Microsoftの研究者は、「…ユーザーのMacOSデバイスにアクセスできる攻撃者は、同じiCloudアカウントにリンクされている他のデバイスのリモート情報を決定するために脆弱性を活用できる」と述べました。メタデータのようなフェイスタグは、同じiCloudアカウントにログインしたデバイス間で伝播する可能性があるため、MACを損なうとユーザーのiPhoneからの情報が明らかになる可能性があります。 Microsoft Threat Intelligenceは、「保護されたディレクトリからのプライベートデータをさらに拡張する能力は、抽出できる情報の非常に敏感な性質のために特に驚くべきことです…」。このコラボレーションにより、Appleは脆弱性が一般の知識になる前に修正を開発し、発行する時間を与え、MacOSユーザーのリスクを軽減しました。
Appleは、MacOS Sequoiaのセキュリティ更新の一部として、2025年3月31日にCVE-2025-31199に対処するパッチをリリースしました。ユーザーは、システムが更新されるようにすることを強くお勧めします。 MicrosoftがAppleのエコシステムを保護し、以前にシステム整合性保護(SIP)の欠陥を報告したのはこれが初めてではありません。これにより、エンドポイントセキュリティソリューションのディフェンダーを強化して、このエクスプロイトに関連する疑わしいアクティビティを検出することができました。現在、このプラットフォームは、異常な.mdimporterのインストールと敏感なディレクトリの異常なインデックス作成のためのモニターを監視しています。
この積極的な防御は非常に重要です。 Microsoftのチームが結論付けたように、「これらのセキュリティ上の懸念のより広い影響を理解することにより、ユーザーをよりよく擁護し、デジタルの安全を確保することができます。」この事件は、決定された敵に対して複雑なオペレーティングシステムを確保するために必要な継続的な努力を思い出させるものとして機能します。