Microsoft heeft een kritieke kwetsbaarheid in macOS bekendgemaakt waarmee aanvallers de privacybescherming van kernprivacy kunnen omzeilen en gevoelige gebruikersgegevens kunnen stelen. De fout, door zijn onderzoekers ‘sploitlight’ genoemd, maakt gebruik van de zoekfunctie van het besturingssysteem om de transparantie, toestemming en controle (TCC) framework te omzeilen.
Dit kan privébestanden blootleggen en, meest verontrustend, gegevens die door appelintelligentie worden gecacheerd. De kwetsbaarheid, gevolgd als CVE-2025-31199 , benadrukt een aanzienlijk risico in hoe maco’s privilege operaties hanteren, zelfs binnen zijn sandbox-omgeving. Een gecoördineerde openbaarmaking, Apple heeft de kwetsbaarheid aangepakt in een Beveiligingsupdate voor MacOS Sequoia op 31 maart 2025 . The discovery underscores the serious privacy risks tied to trusted system components and the potential for cross-device data exposure through iCloud.
How ‘Sploitlight’ Turns Zoek naar een beveiligingsrisico
Transparency, CONTENTION en Control (TCC) framework , het zeer systeem dat is ontworpen om Unauthorized te voorkomen dat u niet-geautoriseerd is. Volgens het rapport van Microsoft kunnen aanvallers het omzeilen door een kwaadwillende spotlight-importeur-plug-in te maken.
Deze plug-ins, die een.mdimporter achtervoegsel gebruiken, worden normaal gebruikt om de spotlight-index verschillende bestandstypen te helpen index. Een aanvaller met lokale toegang kan een kwaadaardige plug-in in de bibliotheekmap van een gebruiker laten vallen. Cruciaal is dat de plug-inbundel niet hoeft te worden ondertekend, waardoor de balk wordt verlaagd voor een aanval.
Wanneer de indexeringsservice van Spotlight (de MDS Daemon) een bestandstype tegenkomt dat de plug-in claimt te verwerken, voert deze de code van de plug-in in een sandboxed MDWorker-proces uit. Hoewel zwaar beperkt, ontdekte het team van Microsoft dat deze sandbox niet genoeg was. De plug-in kan nog steeds de inhoud van de bestandsinstellingen exfiltreren, bijvoorbeeld door de gegevens in brokken te schrijven naar het uniforme logboek van het systeem.
Met deze methode kan aanvallers bestanden lezen van de mappen Downloads, Desktop of Pictures zonder ooit een prompt van een gebruikersstaat te activeren. Deze ontdekking volgt op andere TCC-bypasses gevonden door Microsoft, zoals de eerder gepatchte ‘HM-Surf’-fout. De kwetsbaarheid gaat niet alleen over individuele bestanden; Het gaat over de rijke, geaggregeerde gegevens samengesteld door Apple Intelligence. Microsoft Threat Intelligence waarschuwde dat”… de implicaties van deze kwetsbaarheid… meer ernstiger zijn vanwege het vermogen om gevoelige informatie te extraheren en te lekken die door Apple Intelligence worden gehaald, zoals precieze geolocatiegegevens, foto-en videometadata…”.
Deze toegang tot Apple Intelligence Caches, zoals de fotosablite-database, biedt een trasure-reeks van persoonlijke informatie. Aanvallers kunnen de bewegingen van een gebruiker reconstrueren, medewerkers identificeren via gezichtsherkenningsgegevens en hun gebruikersactiviteit en zoekgeschiedenis bekijken in de foto’s van de foto’s.
Het risico reikt verder dan een enkel apparaat. De onderzoekers van Microsoft merkten op dat”… een aanvaller met toegang tot het macOS-apparaat van een gebruiker ook de kwetsbaarheid kan benutten om informatie op afstand te bepalen van andere apparaten die aan hetzelfde iCloud-account zijn gekoppeld.”Omdat metadata-achtige gezichtstags zich kunnen voortplanten tussen apparaten die zijn ingelogd op hetzelfde iCloud-account, kan het compromitteren van een Mac informatie onthullen die afkomstig is van de iPhone van een gebruiker.
Deze implicaties voor het kruispunt verhogen de inzet aanzienlijk. Microsoft Threat Intelligence verklaarde:”De mogelijkheid om privégegevens verder te exfiltreren van beschermde mappen… is bijzonder alarmerend vanwege de zeer gevoelige aard van de informatie die kan worden geëxtraheerd…”.
Coördineerde openbaarmaking en Apple’s patch
in overeenstemming met de industriële best practices, Microsoft Dreiging Intelligence Shared zijn bevindingen van de industrie die is afgesloten met appel. (CVD). Deze samenwerking gaf Apple de tijd om te ontwikkelen en een oplossing uit te geven voordat de kwetsbaarheid publieke kennis werd, waardoor het risico voor macOS-gebruikers werd verzacht.
Apple heeft een patch uitgebracht die op 31 maart 2025 CVE-2025-31199 aanpakte, als onderdeel van beveiligingsupdates voor MacOS Sequoia. Gebruikers worden sterk aangemoedigd om ervoor te zorgen dat hun systemen worden bijgewerkt. Dit is niet de eerste keer dat Microsoft het ecosysteem van Apple beveiligt, eerder fouten in System Integrity Protection (SIP) gerapporteerd. Dit heeft het in staat gesteld zijn verdediger te verbeteren voor de oplossing voor de beveiligingsbeveiliging om verdachte activiteiten met betrekking tot deze exploit te detecteren. Het platform bewaakt nu op abnormale.mdimporter-installaties en ongebruikelijke indexering van gevoelige mappen.
Deze proactieve verdediging is cruciaal. Zoals het team van Microsoft concludeerde:”Door de bredere effecten van deze beveiligingsproblemen te begrijpen, kunnen we gebruikers beter verdedigen en hun digitale veiligheid waarborgen.”Het incident dient als een herinnering aan de continue inspanning die nodig is om complexe besturingssystemen te beveiligen tegen bepaalde tegenstanders.
