Apple рекомендует установить заплату для бреши в приложении «Команды» (Shortcuts), с помощью которого можно автоматизировать последовательности действий на «макбуках», iPhone, iPad и Apple Watch. Поскольку уязвимость, получившая идентификатор CVE-2024-23204, присутствует на всех этих устройствах, и ее можно эксплуатировать незаметно для пользователя, ей присвоен статус критической.
Брешь дает возможность создать команду, которая обходит систему безопасности Apple TCC (прозрачность, согласие, контроль), препятствующую несанкционированному доступу к личным данным. Специалисты BitDefender выяснили, что процесс приложения, отвечающий за фоновое выполнение команд, может, вопреки ограничениям TCC, получить доступ к конфиденциальным данным. В результате есть возможность создать вредоносную команду и распространить через многочисленные платформы, на которых можно делиться макросами Shortcuts. Задействовав в такой команде функцию расширения коротких ссылок, атакующий может выбрать любые личные данные на устройствах, включая снимки, контакты, файлы и содержимое буфера обмена, импортировать их и отправить на свой сервер в формате base64.
В macOS, начиная с версии 14.3, а также в iOS и iPadOS, начиная с версии 17.3, брешь устранена — выполняется дополнительная проверка разрешений.