Siber Güvenlik Portalı

  1. Anasayfa
  2. »
  3. Haberler
  4. »
  5. Apple Shortcuts Güvenlik Açığı Detayları Açıklandı

Apple Shortcuts Güvenlik Açığı Detayları Açıklandı

Siber Güvenlik Portalı Siber Güvenlik Portalı - - 3 dk okuma süresi
373 0
Apple Shortcuts Güvenlik Açığı pp

Apple Shortcuts Güvenlik Açığı  yüksek ciddiyetteki bir güvenlik açığı kullanıcının bilgisi olmadan hassas bilgilerin sızmasına neden olabilir.

Apple Shortcuts uygulamasındaki yüksek ciddiyette bir güvenlik açığı saldırganların kullanıcıya uyarı vermeden hassas bilgilere erişmesine izin verebilir.

Bitdefender siber güvenlik firmasının açıkladığı üzere, CVE-2024-23204 olarak izlenen ve hem iOS hem de macOS kullanıcılarını etkileyen bu sorun, belirli eylemlerle tetiklenebiliyor ancak saldırganlara hassas kullanıcı bilgilerine ve sistem kaynaklarına erişim sağlama olanağı tanıyor.

Şirketin belirttiğine göre, bu sorun, Shortcuts arka plan işlemi ile ilgilidir ve şeffaflığı, onayı ve kontrolü (TCC) bypass edebilir; bu da, uygulamaların kullanıcı belirli izinleri vermedikçe belirli hassas bilgilere erişemeyeceğini sağlayan Apple’ın çerçevesini atlar.

Apple Shortcuts Güvenlik Açığı

Yüzlerce yerleşik işlem sunarak, Apple Shortcuts, iOS ve macOS’ta dosya yönetimi, eğitim, akıllı ev entegrasyonu ve daha fazlası için kişiselleştirilmiş iş akışları aracılığıyla görevleri kolaylaştıran bir otomasyon uygulamasıdır.

Bitdefender’a göre, güvenlik açığı, bir kum havuzunda olsa bile, Shortcuts arka plan işleminin bazı hassas verilere erişmesine olanak tanımıştır.

İlginizi çekebilecek yazımız: Google Chrome 122 Güvenlik Açığını Kapattı

Bitdefender, bir kısayol içindeki ‘URL Genişlet’ işlevini kullanarak, TCC’yi atlayabildiğini ve bir fotoğrafın base64 kodlanmış verilerini bir uzak web sitesine iletebildiğini belirtiyor.

“Bu yöntem, Shortcuts içinde (Fotoğraflar, Kişiler, Dosyalar ve Panoya Kopyalanan Veriler gibi) herhangi bir hassas veriyi seçmeyi, içe aktarmayı, base64 kodunu kullanarak dönüştürmeyi ve nihayetinde kötü amaçlı sunucuya iletmeyi içerir,” diyor Bitdefender.

Bir saldırgan daha sonra, iletilen verileri yakalamak için bir Flask programı kullanarak hassas bilgileri toplamak için bu yöntemi kullanabilir.

Apple, kullanıcıların kısayolları dışa aktarmasına ve paylaşmasına izin verir ve saldırganlar, bu özelliği kullanarak CVE-2024-23204’e karşı savunmasız kısayolları yayabilirdi ve bunları yükleyen kullanıcıları hedef alabilirdi.

Bu güvenlik açığı, iOS 17.3 ve iPadOS 17.3 sürümleri ile macOS Sonoma 14.3’ün yayınlanmasıyla Ocak ayında giderildi.

“Bir kısayol, kullanıcıya belirli işlemlerle hassas verileri kullanma olanağı sağlayabilir,” diyor Apple.

Apple, sorunu ek izin kontrolleriyle çözdüğünü belirtti. Kullanıcıların en son iOS ve macOS yamalarını mümkün olan en kısa sürede yüklemeleri önerilir.

Haber Kaynağı: Security Week

İlgili Yazılar

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir