苹果快捷方式漏洞暴露敏感数据,立即更新您的设备!CVE-2024-23204

Anna艳娜2024-02-23 11:38:08
Apple Shortcuts安全漏洞(CVE-2024-23204)允许攻击者访问目标设备并窃取敏感数据,官方敦促立即更新您的设备!



网络安全公司Bitdefender在Apple Shortcuts中发现了一个严重等级为7.5/10的漏洞,该漏洞允许攻击者在不提示用户的情况下访问敏感数据。根据Bitdefender于2024年2月22日发布的博客文章,该漏洞被追踪为CVE-2024-23204,允许攻击者绕过Apple的macOS和iOS安全框架创建快捷方式文件。


Apple Shortcuts是一款流行的macOS和iOS自动化应用程序,它允许用户使用可视化编程创建个性化工作流程,以自动执行应用程序控制、媒体管理、消息传递、基于位置的操作等任务,从而简化任务。用户可以创建文件管理、健康跟踪、网络自动化、教育和智能家居集成的工作流程,从而提高生产力和用户体验。


该漏洞是在苹果快捷方式社区的快捷方式共享/扩展机制中发现的。该社区允许用户发现和加快自动化工作流程以及导出/共享快捷方式。


另一方面,CVE-2024-23204允许用户在不知不觉中导入可能利用macOS和iOS中的透明、同意和控制(TCC)安全框架的快捷方式。该框架通过在访问敏感数据或功能之前要求明确的许可来帮助确保用户隐私和安全。


正如研究人员在其博客文章中指出的那样,在攻击过程中,“快捷方式”中的“扩展 URL”功能使攻击者可以将Base64编码的照片数据传输到恶意网站。这涉及选择敏感数据、导入它、使用Base64编码选项对其进行转换,并将其转发到服务器。Flask程序捕获传输的数据,允许攻击者存储它以供利用。该问题已在macOS Sonoma 14.3、watchOS 10.3、iOS 17.3和iPadOS 17.3中修复。


尽管如此,鉴于苹果快捷方式应用程序存在侵犯隐私的可能性,它仍然强调需要对苹果的快捷方式应用程序保持持续的安全警惕。建议用户使用最新的软件。建议用户更新macOS、iPadOS和watchOS设备,在执行来自不受信任来源的快捷方式时保持谨慎,并定期检查Apple安全更新和补丁。


最近,苹果应用程序和设备中发现的缺陷数量不断增加,有效地打破了苹果产品在保护用户数据方面最可靠的神话。去年,苹果修复的漏洞数量创历史新高。


2023年7月,由于Safari WebKit浏览器引擎存在软件漏洞,苹果向iPhone、iPad和Mac用户发布了严重安全警报,敦促他们尽快更新设备。


2023年10月,佐治亚理工学院、密歇根大学和波鸿鲁尔大学的研究人员发现了苹果设备中的iLeakage漏洞,自2020年以来一直影响着Mac和iPhone。该攻击利用了CPU中的旁路漏洞,使得Safari能够泄露敏感数据,包括密码和Gmail内容。


2023年12月,蓝牙漏洞CVE-2023-45866允许攻击者在未经用户确认的情况下控制Android、Linux、macOS和iOS设备,以安装恶意应用程序、运行命令和执行未经授权的操作。


同月,苹果发布了安全更新,以解决两个零日漏洞CVE-2023-42916和CVE-2023-42917,该漏洞允许黑客通过恶意网页执行代码并访问受感染设备上的敏感数据。

软件苹果
本作品采用《CC 协议》,转载必须注明作者和本文链接
为了避免下半辈子只能在几平米的空间活动,我在某鱼上淘到了一款蓝牙锁作为小蓝车的平替。nRF蓝牙抓包首先需要解决的问题是获取蓝牙锁的MAC地址,因为最后我们需要使用gatttool直接通过MAC地址与蓝牙锁交互。比较好用的是nRF这个软件,能够直接扫描查看周围的蓝牙设备。使用gatttool尝试连接并使用primary看查所有service:然后通过characteristics命令看查所有的特性:其中handle是特性的句柄,char properties是特性的属性值,char value handle是特性值的句柄,uuid是特性的标识。
安全研究人员正在关注来自臭名昭著的LockBit黑客团伙的Mac勒索软件样本。这也是知名勒索团伙将矛头指向macOS平台的首个已知案例。但多年以来,实验性的Mac勒索软件样本已经多次出现,不禁令人担心暂时的安全将很快化为乌有。苹果公司拒绝就此事回应置评请求。LockBit是总部设在俄罗斯的勒索软件团伙,首度亮相于2019年底。
苹果公司近日已经向Pegasus间谍软件制造商NSO Group及其母公司提起诉讼,指控其使用监控技术针对并监视苹果用户。
在对iPhone用户部署利用零日漏洞进行攻击的工具之后,苹果公司已经对NSO集团提起了诉讼。 诉状称,这个臭名昭著的Pegasus间谍软件制造商应该对非法监视苹果用户这一行为负责。这家计算机巨头正在希望法院对这家以色列公司发出永久禁令,禁止其使用任何苹果软件、服务或设备,同时还希望获得一定数额的赔偿。
Citizen Lab周一表示,以色列网络监控公司NSO Group发现苹果iPhone有漏洞,黑客可以用一种之前未见过的技术入侵苹果设备。这一发现相当重要,它意味着不需要用户的参与黑客就能影响所有版本的iOS、OSX、watchOS。苹果发消息称,在周一的软件更新中已经修复漏洞。
Apple Shortcuts安全漏洞(CVE-2024-23204)允许攻击者访问目标设备并窃取敏感数据,官方敦促立即更新您的设备!
以色列间谍公司开发出的间谍应用Reign被用来感染iPhone设备。
由于默认的安全设置,在macOS上需要有效的签名和公证。其最终目标是扩大 Apple 生态系统对更多开发者的访问。macOS rcodesign 可执行文件是自签名的,它由 GitHub Actions Linux 运行程序使用 YubiKey 独有的代码签名证书进行签名。有报道称iOS应用包签名正确。rcodesign 现在支持调用 Transporter 并将工件上传到 Apple 进行公证。由于支持对所有应用程序类型进行签名和公证,现在可以在没有 macOS 参与发布过程的情况下发布 Apple 软件。通过插入 YubiKey 并运行 rcodesign smartcard-scan 进行尝试。
自 2 月 24 日开始,乌克兰政府和银行网站不断遭遇网络攻击,急剧变化的局势也让大家进一步地关注到了乌克兰的科技生态圈。 据统计,乌克兰拥有数量庞大的熟练软件开发人员,总共有超过 25 万名在职开发人员。快速增长的 IT 行业是乌克兰最具吸引力的行业之一,据其政府网站介绍,他们已经拥有了超过 4000 家科技公司,其目标是成为欧洲的技术中心。目前,乌克兰不仅拥有数百家初创公司与大型科技企业,同
Anna艳娜
暂无描述