近日，蘋果iOS和macOS系統(tǒng)中被曝光一個關(guān)鍵的安全漏洞，若被成功利用，可能會繞過透明度、同意和控制（TCC）框架，導(dǎo)致用戶敏感信息被未經(jīng)授權(quán)訪問。漏洞編號CVE-2024-44131，存在于文件提供組件中，蘋果通過在iOS 18、iPadOS 18和macOS Sequoia 15中增強符號鏈接的驗證來修復(fù)此問題。

TCC作為蘋果設(shè)備上的一項關(guān)鍵安全功能，允許用戶對應(yīng)用程序訪問敏感數(shù)據(jù)的請求進行授權(quán)或拒絕，如GPS位置、聯(lián)系人和照片等。

Jamf Threat Labs發(fā)現(xiàn)并報告該漏洞，該公司指出，“這種TCC繞過允許未經(jīng)授權(quán)地訪問文件和文件夾、健康數(shù)據(jù)、麥克風(fēng)或攝像頭等，而不會通知用戶，這削弱了用戶對iOS設(shè)備安全性的信任，并使個人數(shù)據(jù)面臨風(fēng)險?！?/p>

漏洞允許惡意應(yīng)用在后臺運行時，攔截用戶在文件應(yīng)用中復(fù)制或移動文件的操作，并將它們重定向到其控制的位置。這種劫持行為利用了fileproviderd的高權(quán)限，這是一個處理與iCloud和其他第三方云文件管理器相關(guān)的文件操作的守護進程，它移動文件后可以將它們上傳到遠程服務(wù)器。

Jamf進一步解釋：“具體來說，當用戶在后臺運行惡意應(yīng)用可訪問的目錄內(nèi)使用Files.app移動或復(fù)制文件或目錄時，攻擊者可以操縱符號鏈接欺騙文件應(yīng)用。新的符號鏈接攻擊方法是，首先復(fù)制一個正常的文件，為惡意進程復(fù)制已開始的可檢測信號。然后在復(fù)制過程已經(jīng)開始后插入一個符號鏈接，有效地繞過符號鏈接檢查?！?/p>

因此，攻擊者可以利用這種方法復(fù)制、移動甚至刪除路徑“/var/mobile/Library/Mobile Documents/”下的各個文件和目錄，以訪問與第一方和第三方應(yīng)用相關(guān)的iCloud備份數(shù)據(jù)，并將它們竊取。這個漏洞的嚴重之處在于它完全破壞了TCC框架，并且不會向用戶觸發(fā)任何提示。盡管如此，可以訪問的數(shù)據(jù)類型取決于執(zhí)行文件操作的系統(tǒng)進程。

Jamf表示：“這些漏洞的嚴重性取決于目標進程的權(quán)限，這揭示了對某些數(shù)據(jù)類型的訪問控制執(zhí)行存在差距，由于這種競態(tài)條件，并非所有數(shù)據(jù)都可以在不發(fā)出警報的情況下提取。例如，由隨機分配的UUID保護的文件夾中的數(shù)據(jù)，以及通過特定API檢索的數(shù)據(jù)不受這種類型的攻擊影響?！?/p>

與此同時，蘋果發(fā)布了軟件更新，以修復(fù)包括WebKit中的四個漏洞在內(nèi)的多個問題，這些漏洞可能導(dǎo)致內(nèi)存損壞或進程崩潰，以及音頻中的一個邏輯漏洞（CVE-2024-54529），該漏洞可能允許應(yīng)用程序執(zhí)行具有內(nèi)核權(quán)限的任意代碼。

iPhone制造商還修復(fù)了Safari中的一個漏洞（CVE-2024-44246），該漏洞可能允許網(wǎng)站在啟用私人中繼的設(shè)備上將其添加到閱讀列表時獲取原始IP地址。蘋果表示，它通過“改進Safari發(fā)起請求的路由”來解決這個問題。

參考來源：https://thehackernews.com/2024/12/researchers-uncover-symlink-exploit.html