现已修补的 iOS 漏洞可能会让恶意应用程序悄悄窃取您的信息没有警报且未经同意的数据。
Jamf 威胁实验室团队已经发现Apple 的透明度、同意和控制 (TCC) 系统中的一个重大安全问题。该缺陷,标记为CVE-2024-44131,可以让应用程序在您不知情的情况下访问您的私人信息,例如照片和位置详细信息。
苹果已经修复了该漏洞和,但这对移动安全和数据隐私敲响了警钟。当应用程序想要访问您的私人数据(例如您的照片或位置)时,TCC 系统应该会提醒您。
但此漏洞利用了 Apple FileProvider 和 fileproviderd 进程中的弱点,让不良应用程序无法通过检查。一旦他们利用了这一点,他们就可以获取您的数据,而无需发出任何警报或请求许可。
macOS 和 iOS 系统都受到影响,这表明不良行为者现在针对不同平台上的漏洞,尤其是 iCloud 等服务。此类漏洞挑战了移动设备比台式机更安全的信念。
恶意应用程序演示。图片来源:Jamf 实验室
该漏洞会扰乱 Apple Files.app 和 fileproviderd 进程中的符号链接竞争条件。
- 符号链接诡计:一个可疑的应用程序通过 Files.app 劫持文件操作,使用完美定时的符号链接将它们重新路由到它控制的目录。
- 利用特权:通过滥用 fileproviderd 的提升权限,流氓应用程序可以获取敏感用户数据,而不会触发任何 TCC 警报。
例如,苹果的防御措施可以检测文件路径末尾的符号链接,但这个技巧会在中间删除符号链接,从而绕过检测。
该漏洞利用的目标是 Files.app 和 fileproviderd 可以访问的特定目录路径。这就是他们所追求的:
- iCloud 数据: /var/mobile/Library/Mobile Documents/ 等路径可能会受到攻击,包括 WhatsApp、Apple 的 Pages 和其他 iCloud 同步文件等应用程序的备份。
- 通用UUID目录:虽然许多应用程序使用唯一的 UUID 来确保安全,但某些共享目录(例如 /Mobile Documents/com~apple~CloudDocs/)在设备之间是一致的,从而使它们更容易被利用。
如何保持受保护
在 Jamf 向该公司发出警报后,苹果修复了 iOS 18 和 macOS 15 中的漏洞。这是个好消息,但它表明没有平台可以免受黑客攻击。
首先,确保您的所有设备都运行最新的 iOS 和 macOS 版本,以便您拥有最新的安全补丁。企业和用户需要将移动设备视为高风险端点。加强移动安全不再是可选的。
为了保持你的安全,留意谁可以访问它并观察任何奇怪的文件活动。这一额外的保护层可以帮助您发现任何入侵尝试并防止任何数据泄露。
