Microsoft har avslørt en kritisk sårbarhet i macOS som lar angripere omgå kjernevernbeskyttelse og stjele sensitive brukerdata. Feilen, kalt ‘sploitlight’ av forskerne, utnytter operativsystemets Spotlight Search-funksjon for å omgå rammeverket gjennomgang, samtykke og kontroll (TCC).
Dette kan eksponere private filer og, mest alarmerende, data cache av Apple Intelligence. Sårbarheten, Sporet som en betydelig risiko i hvordan Macos.
Etter en koordinert avsløring, adresserte Apple sårbarheten i en Sikkerhetsoppdatering for MacOS Sequoia 31. mars 2025 . Discoveryen understreker de alvorlige personvernrisikoene knyttet til pålitelige systemkomponenter og potensialet for eksponering for data om tvers av enheter gjennom iCloud.
Disse plugins, som bruker et.mdimporter-suffiks, brukes normalt til å hjelpe til med å spotlight indeksere forskjellige filtyper. En angriper med lokal tilgang kan slippe en ondsinnet plugin til en brukers bibliotekmappe. Avgjørende at plugin-pakken ikke trenger å signeres, og senker linjen for et angrep.
Når Spotlights indekseringstjeneste (MDS-demonen) møter en filtype plugin hevder å håndtere, utfører den plugin-koden i en sandkasse MD-arbeiderprosess. Mens han var sterkt begrenset, fant Microsofts team at denne sandkassen ikke var nok. Plugin-en kan fremdeles eksfiltrere innholdet i filen, for eksempel ved å skrive dataene i biter til systemets enhetlige log.
Denne metoden lar angripere lese filer fra nedlastinger, stasjonær eller bilder mapper uten noen gang å utløse et brukerens samtykke. Denne oppdagelsen følger andre TCC-forbikjøringer funnet av Microsoft, for eksempel ‘HM-Surf’ feilen som er lappet tidligere.
Apple Intelligence Data og iCloud Sync Forstår trusselen
Den sanne faren for ‘sploitlight’ i det den har tilgang til. Sårbarheten handler ikke bare om individuelle filer; Det handler om de rike, aggregerte dataene som er kuratert av Apple Intelligence. Microsoft Threat Intelligence advarte om at”… implikasjonene av denne sårbarheten… er mer alvorlige på grunn av dens evne til å trekke ut og lekke sensitiv informasjon som er hurtigbufret av Apple Intelligence, for eksempel presise geolokasjonsdata, foto-og videometadata…”.
Denne tilgangen til Apple Intelligence Caches, som bildene. Angripere kan rekonstruere brukerens bevegelser, identifisere tilknyttede selskaper gjennom ansiktsgjenkjenningsdata og se deres brukeraktivitet og søkehistorikk i Photos-appen.
Risikoen strekker seg utover en enkelt enhet. Microsofts forskere bemerket at”… en angriper med tilgang til en brukers macOS-enhet også kan utnytte sårbarheten til å bestemme ekstern informasjon om andre enheter som er koblet til den samme iCloud-kontoen.”Fordi metadata som ansiktsmerker kan forplante seg mellom enheter som er logget på den samme iCloud-kontoen, kan det å kompromittere en Mac avsløre informasjon som stammer fra en brukers iPhone.
Denne implikasjonen på tvers av enheter hever innsatsen betydelig. Microsoft Threat Intelligence uttalte:”Evnen til å fjerne private data ytterligere fra beskyttede kataloger… er spesielt alarmerende på grunn av den svært følsomme karakteren av informasjonen som kan trukket ut…”.
koordinert avsløring og Apple’s Patch
Apple ga ut en oppdatering som adresserer CVE-2025-31199 31. mars 2025, som en del av sikkerhetsoppdateringer for MacOS Sequoia. Brukere oppfordres sterkt til å sikre at systemene deres blir oppdatert. Dette er ikke første gang Microsoft har bidratt til å sikre Apples økosystem, etter å ha tidligere rapportert feil i System Integrity Protection (SIP).
Microsoft bemerker at forskerne fant bypass under proaktiv jakt på prosesser med privilegerte rettigheter. Dette har gjort det mulig for den å forbedre forsvareren for endepunktsikkerhetsløsning for å oppdage mistenkelig aktivitet relatert til denne utnyttelsen. Plattformen overvåker nå for anomale.mdimporterinstallasjoner og uvanlig indeksering av sensitive kataloger.
Dette proaktive forsvaret er avgjørende. Som Microsofts team konkluderte,”Ved å forstå de bredere virkningene av disse sikkerhetsproblemene, kan vi bedre forsvare brukere og sikre deres digitale sikkerhet.”Hendelsen fungerer som en påminnelse om den kontinuerlige innsatsen som kreves for å sikre komplekse operativsystemer mot bestemte motstandere.