Secondo una ricerca condotta da Bitdefender, prima dell’aggiornamento iOS 17.3 uno Shortcuts dannoso poteva acquisire dati sensibili come foto e inviarli a un utente malintenzionato.
Gli Shortcuts sono integrati in iOS, iPadOS e macOS per fornire funzioni finalizzate alla creazione delle automazioni. Questi Shortcuts possono essere condivisi tra gli utenti tramite un collegamento, il che può portare alla condivisione diffusa di uno Shortcuts dannoso.
Secondo una ricerca condotta da Bitdefender, un utente ignaro potrebbe avviare uno Shortcuts che sfrutta una vulnerabilità nel sistema di trasparenza, consenso e controllo (TCC) inteso a proteggere gli utenti dal furto di dati. In genere, i messaggi TCC vengono visualizzati quando un’app o un collegamento tenta di accedere a informazioni riservate o risorse di sistema, ma la vulnerabilità evita questo controllo.
Uno Shortcuts dannoso che utilizza la funzione “Espandi URL” potrebbe aggirare il TCC e trasmettere dati con codifica base64 di foto, contatti, file o dati della clipboard a un sito Web. Un programma Flask gestito dell’aggressore catturerebbe e memorizzerebbe i dati trasmessi per poterli sfruttare.
I passaggi per eseguire le azioni sono visibili all’interno dello Shortcuts, ma potrebbero non essere evidenti a chi non sa cosa cercare, soprattutto perché alcuni comandi possono avere centinaia di azioni.
Come proteggersi dalla vulnerabilità degli Shortcuts?
La soluzione più semplice per evitare problemi con la vulnerabilità è aggiornare i dispositivi. I sistemi operativi più recenti hanno risolto il problema con ulteriori controlli dei permessi.
Aggiorna a iOS 17.3, iPadOS 17.3 o macOS Sonoma 14.3 per correggere la vulnerabilità degli Shortcuts.
Bitdefender ha classificato il problema con un punteggio CVSS di 7,5 su 10, per cui si tratta di una vulnerabilità di gravità molto elevata.