苹果快捷方式漏洞暴露敏感数据，立即更新您的设备！CVE-2024-23204

Apple Shortcuts安全漏洞(CVE-2024-23204)允许攻击者访问目标设备并窃取敏感数据，官方敦促立即更新您的设备！

网络安全公司Bitdefender在Apple Shortcuts中发现了一个严重等级为7.5/10的漏洞，该漏洞允许攻击者在不提示用户的情况下访问敏感数据。根据Bitdefender于2024年2月22日发布的博客文章，该漏洞被追踪为CVE-2024-23204，允许攻击者绕过Apple的macOS和iOS安全框架创建快捷方式文件。

Apple Shortcuts是一款流行的macOS和iOS自动化应用程序，它允许用户使用可视化编程创建个性化工作流程，以自动执行应用程序控制、媒体管理、消息传递、基于位置的操作等任务，从而简化任务。用户可以创建文件管理、健康跟踪、网络自动化、教育和智能家居集成的工作流程，从而提高生产力和用户体验。

该漏洞是在苹果快捷方式社区的快捷方式共享/扩展机制中发现的。该社区允许用户发现和加快自动化工作流程以及导出/共享快捷方式。

另一方面，CVE-2024-23204允许用户在不知不觉中导入可能利用macOS和iOS中的透明、同意和控制(TCC)安全框架的快捷方式。该框架通过在访问敏感数据或功能之前要求明确的许可来帮助确保用户隐私和安全。

正如研究人员在其博客文章中指出的那样，在攻击过程中，“快捷方式”中的“扩展 URL”功能使攻击者可以将Base64编码的照片数据传输到恶意网站。这涉及选择敏感数据、导入它、使用Base64编码选项对其进行转换，并将其转发到服务器。Flask程序捕获传输的数据，允许攻击者存储它以供利用。该问题已在macOS Sonoma 14.3、watchOS 10.3、iOS 17.3和iPadOS 17.3中修复。

尽管如此，鉴于苹果快捷方式应用程序存在侵犯隐私的可能性，它仍然强调需要对苹果的快捷方式应用程序保持持续的安全警惕。建议用户使用最新的软件。建议用户更新macOS、iPadOS和watchOS设备，在执行来自不受信任来源的快捷方式时保持谨慎，并定期检查Apple安全更新和补丁。

最近，苹果应用程序和设备中发现的缺陷数量不断增加，有效地打破了苹果产品在保护用户数据方面最可靠的神话。去年，苹果修复的漏洞数量创历史新高。

2023年7月，由于Safari WebKit浏览器引擎存在软件漏洞，苹果向iPhone、iPad和Mac用户发布了严重安全警报，敦促他们尽快更新设备。

2023年10月，佐治亚理工学院、密歇根大学和波鸿鲁尔大学的研究人员发现了苹果设备中的iLeakage漏洞，自2020年以来一直影响着Mac和iPhone。该攻击利用了CPU中的旁路漏洞，使得Safari能够泄露敏感数据，包括密码和Gmail内容。

2023年12月，蓝牙漏洞CVE-2023-45866允许攻击者在未经用户确认的情况下控制Android、Linux、macOS和iOS设备，以安装恶意应用程序、运行命令和执行未经授权的操作。

同月，苹果发布了安全更新，以解决两个零日漏洞CVE-2023-42916和CVE-2023-42917，该漏洞允许黑客通过恶意网页执行代码并访问受感染设备上的敏感数据。