Nie tak dawno ujawniono szczegóły dotyczące luki w zabezpieczeniach systemów iOS i macOS, która mogła zagrozić użytkownikom urządzeń Apple. Owa luka, choć już załatana, stanowiła potencjalne zagrożenie dla ochrony prywatnych danych, umożliwiając obejście systemu Transparency, Consent, and Control (TCC). Jeśli doszłoby do jej skutecznego wykorzystania, hakerzy mieliby możliwość uzyskania nieuprawnionego dostępu do wrażliwych danych użytkowników bez ich wiedzy.
Zlokalizowany jako CVE-2024-44131 (ze wskaźnikiem CVSS wynoszącym 5.3), problem dotyczył komponentu FileProvider i został zażegnany w najnowszych aktualizacjach systemów iOS 18, iPadOS 18 oraz macOS Sequoia 15. Apple wdrożyło ulepszenia w zakresie walidacji dowiązań symbolicznych (symlinks), co miało zapobiec przyszłym próbom wykorzystania tej luki.
Jamf Threat Labs, zespół odpowiedzialny za odkrycie i zgłoszenie tego problemu, alarmował, że obejście TCC mogło pozwolić złośliwym oprogramowaniom na pozyskiwanie danych użytkowników bez ich zgody. TCC to jeden z fundamentalnych elementów ochrony wbudowanych w urządzenia Apple, dający użytkownikom możliwość kontrolowania, które aplikacje mogą mieć dostęp do poufnych informacji, takich jak lokalizacja GPS, kontakty czy zdjęcia.
Eksperci z Jamf wyjaśnili, że ta luka mogła umożliwić złośliwym aplikacjom dostęp do takich zasobów jak pliki, foldery, dane z aplikacji Zdrowie, a także mikrofonu czy kamery – wszystko bez jakiejkolwiek informacji dla użytkownika. Taka sytuacja mogłaby podważyć zaufanie użytkowników do bezpieczeństwa platform Apple i doprowadzić do narażenia ich na ryzyko utraty prywatnych danych.
Zasadnicze zagrożenie wynikało z faktu, że złośliwe oprogramowanie mogło działać w tle i przechwytywać czynności wykonywane przez użytkownika w aplikacji Pliki (Files.app). Operacje takie jak kopiowanie lub przenoszenie plików mogły zostać przechwycone i delegowane do lokalizacji kontrolowanej przez napastnika. Całość była możliwa dzięki manipulacji przywilejami demonów systemowych takich jak fileproviderd, które odpowiadają za obsługę plików w chmurze iCloud oraz aplikacjach zewnętrznych.
Szkoleni eksperci wskazali również na techniczne szczegóły ataku. Podczas kopiowania lub przenoszenia danych przez użytkownika, symlink – czyli dowiązanie symboliczne – mógł być wprowadzony w trakcie procesu, skutecznie omijając kontrole i zabezpieczenia. Proces ten pozwalał na manipulowanie plikami w obrębie katalogu „/var/mobile/Library/Mobile Documents/”, gdzie przechowywane są dane z backupów iCloud, a następnie przesyłanie ich na zdalne serwery.
Dodatkowym problemem był brak jakichkolwiek powiadomień lub ostrzeżeń dla użytkownika w momencie eksploatowania luki. Zakres dostępu do danych był przy tym uzależniony od uprawnień danego procesu systemowego.
Warto jednak zauważyć, że nie wszystkie dane mogły być narażone na ryzyko, co było uzależnione od rodzaju chronionych folderów i sposobu ich zabezpieczenia. Dane chronione przez losowe UUID-y lub wymagające dedykowanych interfejsów API pozostawały poza zasięgiem ataku.
W reakcji na tę sytuację Apple wydało zestaw aktualizacji naprawiających nie tylko omawianą lukę, ale także inne błędy, takie jak cztery luki w WebKit, które mogły wywoływać problemy z pamięcią lub powodować awarie procesów. Dodatkowo rozwiązano problem w Audio (CVE-2024-54529), który mógł umożliwić złośliwym aplikacjom wykonywanie dowolnego kodu z uprawnieniami jądra. Poprawiono również kwestię związaną z przeglądarką Safari, gdzie urządzenia z włączoną funkcją Private Relay mogły przypadkowo ujawniać adres IP podczas dodawania witryn do listy „Do przeczytania”. Problem ten został rozwiązany przez poprawione routowanie żądań inicjowanych przez Safari.
