Kritična ranjivost u macOS-u omogućava napadačima da zaobiđu zaštitu Transparency, Consent, and Control (TCC) i ukradu osjetljive korisničke podatke, uključujući datoteke iz zaštićenih direktorija i predmemorija Apple Intelligence.
Ranjivost, nazvana “Sploitlight”, iskorištava Spotlight dodatke za pristup inače zaštićenim informacijama bez pristanka korisnika, što predstavlja značajan rizik za privatnost korisnika macOS-a.
Mehanizam iskorištavanja Spotlight dodatka
Microsoft Threat Intelligence izvještava da ranjivost koristi Spotlight uvoznike – dodatke s ekstenzijama .mdimporter koji pomažu u indeksiranju sadržaja sistema za funkcionalnost pretraživanja.
Ovi dodaci rade putem mds daemon-a i mdworker zadataka, koji imaju privilegovan pristup osjetljivim datotekama u svrhu indeksiranja.
Međutim, istraživači su otkrili da napadači mogu manipulisati ovim dodacima kako bi ukrali zaštićene podatke.
Proces napada uključuje modifikaciju datoteka Info.plist i schema.xml dodatka kako bi se ciljni tipovi datoteka deklarisali u UTI (Uniform Type Identifier) formatu.
Napadači zatim mogu kopirati nepotpisani paket u direktorij ~/Library/Spotlight i koristiti naredbe poput mdimport -r kako bi prisilili Spotlight da učita maliciozni dodatak.
Sadržaj zapisnika iskorištavanja pohranjuje se u objedinjene dijelove zapisnika, što omogućava izdvajanje osjetljivih podataka putem uslužnog programa za zapisivanje.
Važno je napomenuti da pozivajuća aplikacija ne zahtijeva TCC dozvole jer indeksiranje vrši zadatak mdworker, efektivno zaobilazeći Appleov sigurnosni okvir.
Alat uttype može odrediti tipove datoteka čak i bez TCC pristupa, što napad čini svestranijim.
Implikacije ranjivosti protežu se dalje od osnovnog pristupa datotekama, posebno utičući na keš memorije Apple Intelligencea pohranjene u zaštićenim direktorijima poput Pictures.
Napadači mogu izvući vrlo osjetljive informacije iz baza podataka kao što je Photos.sqlite, uključujući precizne GPS koordinate, podatke o prepoznavanju lica, metapodatke fotografija, historiju pretraživanja i korisničke postavke.
Proboj postaje još zabrinjavajući zbog povezivanja iCloud računa, gdje napadači koji pristupaju jednom macOS uređaju potencijalno mogu prikupljati informacije o drugim uređajima povezanim s istim iCloud računom. To uključuje označavanje lica i metapodatke koji se šire na Apple uređajima.
Apple je riješio ovu ranjivost, koja se sada prati kao CVE-2025-31199, u sigurnosnim ažuriranjima za macOS Sequoia objavljenim 31. marta 2025. godine.
Microsoft Defender za krajnje tačke poboljšao je svoje mogućnosti detekcije kako bi identifikovao sumnjive instalacije .mdimporter paketa i anomalno indeksiranje osjetljivih direktorijuma.
Korisnicima se toplo preporučuje da odmah instaliraju Apple-ova sigurnosna ažuriranja kako bi se zaštitili od ove ranjivosti zaobilaženja TCC-a , koja predstavlja značajnu prijetnju privatnosti i sigurnosti podataka korisnika.
Izvor: CyberSecurityNews
