В одному з найпопулярніших застосунків від Apple виявлено критичну вразливість, що краде персональні дані користувачів

У популярному застосунку Apple «Швидкі команди» (Apple Shortcuts) виявлено вразливість CVE-2024−23 204, яка може відкрити зловмисникам доступ до конфіденційних даних на пристроях під управлінням macOS і iOS без запиту дозволу у користувача.

Застосунок «Швидкі команди» для macOS і iOS призначається для автоматизації завдань: він дає змогу створювати макроси з послідовностями різних дій, зокрема й експортувати дані в iCloud і на інші платформи.

Компанія Bitdefender опублікувала інформацію про вразливість CVE-2024−23 204, що дає змогу створювати шкідливі файли сценаріїв «Швидких команд» в обхід системи безпеки Apple Transparency, Consent and Control (TCC), призначеної для стеження за тим, чи додатки у явному вигляді запитують у користувачів дозволи на доступ до певних даних або функцій.

Додавши такий файл у бібліотеку жертви, зловмисник отримує можливість непомітно викрадати конфіденційні дані та системну інформацію без запиту дозволу. Уразливість присутня в платформах версій до macOS Sonoma 14.3, iOS 17.3 і iPadOS 17.3, і їй присвоєно рейтинг 7,5 з 10 («високий»), оскільки її можна експлуатувати віддалено без будь-яких привілеїв.

В актуальних версіях ОС Apple вже виправила помилку, і експерти з кібербезпеки рекомендують оновити застосунок «Швидкі команди» до останньої версії.