Er zijn details naar voren gekomen over een inmiddels gepatcht beveiligingsprobleem in Apple’s iOS en macOS dat, als het succesvol wordt uitgebuit, het Transparency, Consent, and Control (TCC)-framework zou kunnen omzeilen en zou kunnen resulteren in ongeautoriseerde toegang tot gevoelige informatie.
De fout, bijgehouden als CVE-2024-44131 (CVSS-score: 5,3), bevindt zich in de FileProvider-component, per Apple, en is verholpen door een verbeterde validatie van symbolische koppelingen (symlinks) in iOS 18, iPadOS 18 en macOS Sequoia 15.
Jamf Threat Labs, die de fout ontdekte en rapporteerde, zei dat de TCC-bypass kan worden misbruikt door een bedrieger die op het systeem is geïnstalleerd om gevoelige gegevens te bemachtigen zonder medeweten van de gebruiker.
TCC fungeert als een cruciale beveiligingsbescherming op Apple-apparaten en biedt eindgebruikers een manier om een verzoek van apps om toegang te krijgen tot gevoelige gegevens, zoals GPS-locatie, contacten en foto’s, toe te staan of te weigeren.
“Deze TCC-bypass maakt ongeautoriseerde toegang mogelijk tot bestanden en mappen, gezondheidsgegevens, de microfoon of camera en meer zonder gebruikers te waarschuwen”, aldus het bedrijf. “Dit ondermijnt het vertrouwen van gebruikers in de veiligheid van iOS-apparaten en stelt persoonlijke gegevens bloot aan risico’s.”
In de kern zorgt het beveiligingslek ervoor dat een kwaadaardige app die op de achtergrond draait, acties van de gebruiker kan onderscheppen om bestanden binnen de Bestanden-app te kopiëren of te verplaatsen en deze om te leiden naar een locatie onder hun controle.
Deze kaping werkt door gebruik te maken van de verhoogde rechten van fileproviderd, een daemon die bestandsbewerkingen afhandelt die verband houden met iCloud en andere cloudbestandsbeheerders van derden, om de bestanden te verplaatsen, waarna ze kunnen worden geüpload naar een externe server.
“Als een gebruiker met behulp van Files.app bestanden of mappen verplaatst of kopieert binnen een map die toegankelijk is voor een kwaadaardige app die op de achtergrond draait, kan de aanvaller symbolische links manipuleren om de app Bestanden te misleiden”, aldus Jamf.
“De nieuwe symlink-aanvalsmethode kopieert eerst een onschuldig bestand en geeft een detecteerbaar signaal aan een kwaadaardig proces dat het kopiëren is gestart. Vervolgens wordt een symlink ingevoegd nadat het kopieerproces al aan de gang is, waardoor de symlink-controle effectief wordt omzeild.”
Een aanvaller zou daarom de methode kunnen gebruiken om verschillende bestanden en mappen onder het pad “/var/mobile/Library/Mobile Documents/” te kopiëren, verplaatsen of zelfs te verwijderen om toegang te krijgen tot iCloud-back-upgegevens die zijn gekoppeld aan apps van zowel eerste als derde partijen. exfiltreer ze.
Het bijzondere aan deze maas in de wet is dat het het TCC-framework volledig ondermijnt en geen enkele prompt voor de gebruiker activeert. Dat gezegd hebbende, hangt het type gegevens waartoe toegang kan worden verkregen af van welk systeemproces de bestandsbewerking uitvoert.
“De ernst van deze kwetsbaarheden hangt af van de rechten van het beoogde proces”, aldus Jamf. “Dit brengt een leemte aan het licht in de handhaving van de toegangscontrole voor bepaalde gegevenstypen, omdat niet alle gegevens zonder waarschuwing kunnen worden geëxtraheerd vanwege deze raceconditie.”
“Gegevens in mappen die worden beschermd door willekeurig toegewezen UUID’s en gegevens die worden opgehaald via specifieke API’s blijven bijvoorbeeld onaangetast door dit soort aanvallen.”
Deze ontwikkeling komt op het moment dat Apple updates heeft uitgebracht voor al zijn software om verschillende problemen op te lossen, waaronder vier fouten in WebKit die kunnen leiden tot geheugenbeschadiging of procescrashes, en een logische kwetsbaarheid in Audio (CVE-2024-54529) waardoor een app willekeurige code uitvoeren met kernelrechten.
Ook gerepareerd door de iPhone-maker is een bug in Safari (CVE-2024-44246) waardoor een website het oorspronkelijke IP-adres kan achterhalen wanneer het wordt toegevoegd aan de leeslijst op een apparaat waarop Private Relay is ingeschakeld. Apple zei dat het het probleem heeft opgelost met “een verbeterde routering van door Safari afkomstige verzoeken.”