Cybersikkerhedsforskere fra Jamf Threat Labs opdagede og rapporterede for nylig en sårbarhed i FileProvider, der bruges i både macOS og iOS til at gøre det muligt for apps at administrere og få adgang til filer, der er gemt på fjerntliggende servere eller lokalt.
Sårbarheden, der er registreret som CVE-2024-44131 og har en alvorlighedsscore på 5,3, stammer fra rammesystemets forhøjede rettigheder. Disse rettigheder kan udnyttes til at flytte filer og endda uploade dem til en fjernserver under hackerens kontrol.
Sårbarheden omgår Apples Transparency, Consent, and Control (TCC)-ramme, der ofte beskrives som en 'kritisk sikkerhedsbeskyttelse' for Apple-enheder. Derfor har det ifølge TechRadar også været vigtigt for Apple, at de hurtigt har fået lukket dette sikkerhedshul.
"Dette TCC-bypass giver uautoriseret adgang til filer og mapper, sundhedsdata, mikrofonen eller kameraet og mere uden at advare brugeren. Dette underminerer brugernes tillid til sikkerheden på iOS-enheder og udsætter personlige data for risici," udtalte Jamf.
I teorien, hvis en hacker kan få en ondsindet app til at køre på en Apple-enhed, kan den opsnappe brugerens handlinger, såsom at flytte eller kopiere filer i Files-appen, og sende dem til en server under hackerens kontrol.
"Specifikt, når en bruger flytter eller kopierer filer eller mapper i Files-appen inden for et katalog, der er tilgængeligt for en ondsindet app, kan angriberen manipulere symlinks til at narre Files-appen," forklarede Jamf.
"Denne nye symlink-angrebsmetode kopierer først en uskyldig fil for at give et signal til en ondsindet proces om, at kopieringen er startet. Derefter indsættes et symlink efter, at kopieringsprocessen allerede er påbegyndt, hvilket effektivt omgår symlink-kontrollen."
Apple har rettet fejlen i iOS 18, iPadOS 18 og macOS Sequoia 15 ved at forbedre valideringen af symbolske links (symlinks). Virksomheden opfordrer brugere til at opdatere deres systemer så hurtigt som muligt.
