Apple'ın iOS ve macOS'unda bulunan ve başarıyla suistimal edilmesi durumunda Şeffaflık, Onay ve Kontrol ( TCC ) çerçevesini atlatıp hassas bilgilere yetkisiz erişime yol açabilecek bir güvenlik açığıyla ilgili ayrıntılar ortaya çıktı.

Apple'a göre, CVE-2024-44131 (CVSS puanı: 5,3) olarak izlenen bu kusur , FileProvider bileşeninde bulunuyor ve iOS 18, iPadOS 18 ve macOS Sequoia 15'te sembolik bağlantıların (sembolik bağlantılar) doğrulamasının iyileştirilmesiyle giderildi .

Açığı keşfedip raporlayan Jamf Threat Labs, sisteme yüklenen bir dolandırıcının, kullanıcıların bilgisi olmadan hassas verileri ele geçirmek için TCC atlamasını istismar edebileceğini söyledi.

TCC, Apple aygıtlarında kritik bir güvenlik koruması görevi görerek son kullanıcılara, GPS konumu, kişiler ve fotoğraflar gibi hassas verilere erişim için uygulamaların yaptığı istekleri kabul etme veya reddetme olanağı sağlar.

Şirket, "Bu TCC atlatması, kullanıcıları uyarmadan dosyalara ve klasörlere, Sağlık verilerine, mikrofona veya kameraya ve daha fazlasına yetkisiz erişime izin veriyor," dedi . "Bu, kullanıcıların iOS cihazlarının güvenliğine olan güvenini zedeliyor ve kişisel verileri riske atıyor."

Güvenlik açığının özünde, arka planda çalışan kötü amaçlı bir uygulamanın, kullanıcının Dosyalar uygulaması içinde dosyaları kopyalamak veya taşımak için yaptığı eylemleri engellemesine ve bunları kendi kontrolündeki bir konuma yönlendirmesine olanak sağlaması yer alıyor.

Bu ele geçirme, iCloud ve diğer üçüncü taraf bulut dosya yöneticileriyle ilişkili dosya işlemlerini yöneten bir arka plan programı olan fileproviderd'in yükseltilmiş ayrıcalıklarından yararlanarak dosyaları taşımak ve ardından bunların uzak bir sunucuya yüklenmesini sağlamak suretiyle çalışır.

Jamf, "Özellikle bir kullanıcı, arka planda çalışan kötü amaçlı bir uygulama tarafından erişilebilen bir dizinde Files.app kullanarak dosyaları veya dizinleri taşıdığında veya kopyaladığında, saldırgan Files uygulamasını aldatmak için sembolik bağlantıları manipüle edebilir" dedi.

"Yeni sembolik bağlantı saldırı yöntemi önce masum bir dosyayı kopyalar ve kötü amaçlı bir işleme kopyalamanın başladığına dair algılanabilir bir sinyal sağlar. Daha sonra, kopyalama işlemi zaten devam ederken bir sembolik bağlantı eklenir ve sembolik bağlantı denetimi etkin bir şekilde atlanır."

Bu nedenle bir saldırgan, hem birinci hem de üçüncü taraf uygulamalarla ilişkili iCloud yedekleme verilerine erişmek ve bunları dışarı çıkarmak için "/var/mobile/Library/Mobile Documents/" yolu altındaki çeşitli dosya ve dizinleri kopyalamak, taşımak veya hatta silmek için bu yöntemi kullanabilir.

Bu açığın önemli yanı, TCC çerçevesini tamamen baltalaması ve kullanıcıya herhangi bir istem göndermemesidir. Bununla birlikte, erişilebilen veri türü, dosya işlemini hangi sistem işleminin yürüttüğüne bağlıdır.

Jamf, "Bu güvenlik açıklarının ciddiyeti hedeflenen sürecin ayrıcalıklarına bağlıdır," dedi. "Bu, belirli veri türleri için erişim denetimi uygulamasında bir boşluk olduğunu ortaya koyuyor, çünkü bu yarış durumu nedeniyle tüm veriler uyarı olmadan çıkarılamıyor."

"Örneğin, rastgele atanan UUID'lerle korunan klasörlerdeki veriler ve belirli API'ler aracılığıyla alınan veriler bu tür saldırılardan etkilenmez."

Gelişme, Apple'ın WebKit'te bellek bozulmasına veya işlem çökmesine yol açabilecek dört kusur ve bir uygulamanın çekirdek ayrıcalıklarıyla keyfi kod yürütmesine izin verebilecek Ses'teki bir mantık açığı (CVE-2024-54529) dahil olmak üzere çeşitli sorunları gidermek için tüm yazılımlarına yönelik güncellemeler yayınlamasının ardından geldi, iPhone üreticisi tarafından ayrıca Safari'de (CVE-2024-44246) bir hata düzeltildi. Bu hata, bir web sitesinin Özel Röle etkinleştirilmiş bir cihazda Okuma Listesi'ne eklerken kaynak IP adresini elde etmesine olanak tanıyabilir. Apple, "Safari kaynaklı isteklerin iyileştirilmiş yönlendirilmesi" ile sorunu düzelttiğini söyledi.