Microsoft ujawnił krytyczną podatność na macOS, która pozwala atakującym ominąć podstawową ochronę prywatności i kradzież wrażliwych danych użytkownika. Wada, nazwana przez badaczy „Sploitlight”, wykorzystuje funkcję wyszukiwania w centrum uwagi systemu operacyjnego, aby obejść framework przejrzystości, zgody i kontroli (TCC).
Może to ujawniać prywatne pliki i, co najbardziej alarmująco, danych buforowane przez Apple Intelligence. Podatność, śledzone jako CVE-2025-31199 , podświetla znaczące ryzyko w sposób, w jaki Macos obsługuje operacje priciowe, nawet w jego piaskowanym środowisku. Skoordynowane ujawnienie, Apple zajął się podatnością na podatność w aktualizacja bezpieczeństwa dla macOS sequoia w dniu 31 marca 2025 r. Odkrycie podkreśla poważne ryzyko prywatności powiązane z zaufanymi komponentami systemu i potencjałem ekspozycji na dane między urządzeniem przez iCloud.
Zamienia wyszukiwanie w ryzyko bezpieczeństwa
Przezroczystość, zgoda i kontrola (TCC) ramy , zapobiegane dostępowi do danych UNAuthorized do danych prywatnych. Według raportu Microsoft, atakujący mogą go ominąć, tworząc wtyczkę importera złośliwego reflektorów.
Te wtyczki, które korzystają z sufiksu.mdimporter, są zwykle używane do pomocy w indeksowaniu różnych typów plików. Atakujący z dostępem lokalnym może upuścić złośliwą wtyczkę do folderu biblioteki użytkownika. Co najważniejsze, pakiet wtyczki nie musi być podpisany, obniżając pasek do ataku.
Gdy usługa indeksująca Spotlight (Demon MDS) napotyka typ pliku, który wtyczka podaje, wykonuje kod wtyczki w procesie piaskowanym MDWorker. Podczas gdy mocno ograniczony zespół Microsoft stwierdził, że ta piaskownica nie wystarczy. Wtyczka może nadal wykluczać zawartość pliku, na przykład, pisząc dane w kawałkach z ujednoliconym dziennikiem systemu.
Ta metoda umożliwia atakującym odczytywanie plików z folderów do pobrania, pulpitu lub zdjęć bez uruchamiania wiersza zgody użytkownika. To odkrycie jest zgodne z innymi obejściami TCC znalezionymi przez Microsoft, takie jak wada „HM-SURF” załatana wcześniej.
Dane inteligencji Apple i iCloud Sync powiększ zagrożenie
Prawdziwe niebezpieczeństwo „Sploitlight” kłamie w tym, co może mieć dostęp. Podatność nie dotyczy tylko poszczególnych plików; Chodzi o bogate, zagregowane dane wyselekcjonowane przez Apple Intelligence. Microsoft Threat Intelligence ostrzegł, że „… implikacje tej podatności… są poważniejsze ze względu na jego zdolność do wyodrębnienia i wycieku informacji wrażliwych na inteligencję Apple, takie jak precyzyjne dane geolokalizacyjne, metadane fotograficzne i wideo…”.
Ten dostęp do komputerów Apple Intelligence, podobnie jak Photos.sqlite, zapewnia skarbowe informacje osobowe. Atakujący mogą zrekonstruować ruchy użytkownika, identyfikować współpracownicze za pomocą danych rozpoznawania twarzy oraz przeglądać swoją aktywność użytkownika i historię wyszukiwania w aplikacji zdjęć.
Ryzyko wykracza poza jedno urządzenie. Naukowcy Microsoft zauważyli, że „… atakujący z dostępem do urządzenia macOS użytkownika może również wykorzystać podatność na podatność w celu ustalenia zdalnych informacji o innych urządzeniach powiązanych z tym samym kontem iCloud”. Ponieważ metadane podobne do tagów twarzy mogą propagować się między urządzeniami zalogowanymi na to samo konto iCloud, zagrażanie kompromisowi może ujawnić informacje pochodzące z iPhone’a użytkownika.
Ta implikacja na urządzenie znacznie znacznie podnosi stawki. Microsoft Threat Intelligence stwierdził: „Zdolność do dalszego wykładania prywatnych danych z chronionych katalogów… jest szczególnie niepokojąca ze względu na wysoce wrażliwy charakter informacji, które można wydobyć…”.
skoordynowane ujawnienie i łatanie Apple
Zgodnie z najlepszymi praktykami w branży, MICrosoft Finding z rozpoznaniem Apple poprzez skoordynowaną rozdzielczość (CVD). Ta współpraca dała Apple czas na rozwój i wydanie poprawki, zanim podatność stała się wiedzą publiczną, ograniczając ryzyko dla użytkowników macOS.
Apple opublikowało łatkę adresującą CVE-2025-31199 w dniu 31 marca 2025 r., W ramach aktualizacji bezpieczeństwa dla Sequoia MacOS. Użytkownicy są bardzo zachęcani do zapewnienia aktualizacji ich systemów. To nie po raz pierwszy Microsoft pomógł zabezpieczyć ekosystem Apple, wcześniej zgłaszając wady ochrony integralności systemu (SIP).
Microsoft zauważa, że jego badacze znaleźli obejście podczas proaktywnego polowania na procesy z uprzywilejowanymi uprawnieniami. Umożliwiło to zwiększenie obrońcy rozwiązania bezpieczeństwa punktu końcowego w celu wykrycia podejrzanych działań związanych z tym exploitem. Platforma monitoruje teraz anomalne instalacje.Mdimporter i niezwykłe indeksowanie wrażliwych katalogów.
Ta proaktywna obrona jest kluczowa. Jak stwierdził zespół Microsoft: „Zrozumienie szerszych skutków tych problemów bezpieczeństwa możemy lepiej bronić użytkowników i zapewnić ich bezpieczeństwo cyfrowe”. Incydent służy jako przypomnienie ciągłego wysiłku wymaganego do zabezpieczenia złożonych systemów operacyjnych przeciwko zdeterminowanym przeciwnikom.