Az Apple kijavította a macOS egy „Sploitlight” névre keresztelt nagy biztonsági hibáját, amely lehetővé tette a támadók számára, hogy megkerüljék a felhasználói adatvédelmi beállításokat, és kivonják az érzékeny adatokat, beleértve az Apple Intelligence által gyorsítótárazott fájlokat is.
A Microsoft Threat Intelligence csapata által felfedezett és CVE-2025-31199 jelzésű biztonsági rés a macOS Spotlight bővítményrendszerét használta ki, hogy kikerülje az átláthatóság, beleegyezés és vezérlés (TCC) védelmet. A TCC-nek meg kell akadályoznia a jogosulatlan hozzáférést a felhasználói adatokhoz, például helyhez, fényképekhez, letöltésekhez és az Apple mesterséges intelligenciarendszerei által generált személyes tartalmakhoz.
Javasolt olvasmány:Az Apple Jelszók alkalmazásának jelentős biztonsági hibája volt – a következőket kell tudnia
A Spotlight kihasználta a Spotlight importőröket, amelyek olyan kis eszközök, amelyek indexelnek fájlokat a macOS kereséshez. Bár ezek a bővítmények általában homokozóban futnak, és az általuk feldolgozott fájlokra korlátozódnak, állítják a Microsoft kutatóitaláltaz indexelési folyamattal való visszaélés módja a személyes adatok kiszivárogtatása érdekében. Egy beépülő modul elkészítésével vagy módosításával, és egy felhasználói mappába helyezve a támadók átvizsgálhatják és naplózhatják a TCC által védett helyeken, például a Letöltések, Asztal és Képek mappákban tárolt fájlok tartalmát. Nem volt szükség magasabb szintű engedélyekre, és a bővítményt sem kellett aláírni.
Ez a technika lehetővé tette a privát média metaadatainak, a földrajzi helyelőzményeknek, az arc- és személyfelismerő címkéknek, a felhasználói preferenciáknak és még az Apple Intelligence által generált gyorsítótárazott összefoglalóknak a kiszívását is. Ami tovább rontotta a problémát, az az iCloud szinkronizálása. Egyetlen feltört Mac használható összekapcsolt adatok gyűjtésére más Apple-eszközökről, amelyek ugyanahhoz az iCloud-fiókhoz vannak kötve, beleértve az iPhone-okat és iPad-eket. A Microsoft hangsúlyozta, hogy ennek a sérülékenységnek a következményei súlyosabbak, mint a korábbi TCC-megkerülések, például a „powerdir” vagy a „HM-Surf”, az Apple Intelligence adatok érzékeny természete miatt.
A jó hír az, hogy az Apple orvosolta a 2025. március 31-én kiadott macOS Sequoia 15.4 frissítés hibáját, miután a Microsoft az év elején figyelmeztette. Az Apple biztonsági dokumentációja szerint a Sploitlight sebezhetőségét javított adatszerkesztéssel javították. A javítás mellett az Apple két másik, a Microsoft által felfedezett macOS-problémát is megoldott a szimbolikus hivatkozások érvényesítésének javításával és az állapotkezelés javításával.
Bár a Sploitlight-kizsákmányolást a vadonban nem figyelték meg, a visszaélés lehetősége komoly volt. A felhasználókat nyomatékosan kérik, hogy frissítsék rendszereiket, ha még nem tették meg. A macOS Sequoia 15.4 telepítése megakadályozza, hogy a támadók ezt a technikát használják az érzékeny fájlok vizsgálatára. Ezenkívül a felhasználóknak kerülniük kell az ismeretlen vagy aláíratlan Spotlight beépülő modulok telepítését, és figyelniük kell a rendszertevékenységet a gyanús viselkedés miatt.