Shortcuts-Lücke: Zero-Day-Exploit konnte Apples Systemsicherheit aushebeln
Apples TCC-Verfahren soll eigentlich verhindern, dass böswillige Apps ausgeführt werden. Mittels Shortcuts war das doch möglich. Die Lücke ist gestopft.
Die Kurzbefehle-App, hier auf dem Mac.
(Bild: Apple)
In iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 und watchOS 10.3 hat Apple eine problematische Lücke gestopft, mit der Angreifer über die Kurzbefehle-App (Shortcuts) wichtige Sicherheitstechniken in den Betriebssystemen aushebeln konnten. Das meldet das Sicherheitsunternehmen BitDefender, das die Lücke entdeckt und einen "Deep Dive" zu der Zero-Day-Lücke publiziert hat.
Böser Shortcut klaut sensible Daten
Der Bug mit der ID CVE-2024-23204 hat laut NIST eine Schwere von 7,5 ("High") und konnte verwendet werden, um Apples TCC-Framework (Transparency, Consent and Control) zu umgehen. Mit dem Ansatz soll es möglich gewesen sein, sensible Daten zu exfiltrieren, ohne dass der Nutzer dies mitbekam. "Die Methode besteht darin, sensible Daten (Fotos, Kontakte, Dateien und Daten in der Zwischenablage) in Shortcuts zu selektieren, sie zu importieren, sie in Base64 umzuwandeln und sie schließlich an den bösartigen Server weiterzuleiten", so BitDefender. Apple behob das Problem mit "zusätzlichen Rechteüberprüfungen".
Ein Angriffsszenario wäre gewesen, dem Opfer einen entsprechend präparierten Kurzbefehl zu senden. Diese werden per Web verteilt und können entsprechend weitläufig verbreitet werden. Viele Nutzer prüfen Shortcuts nicht, bevor sie diese ausführen – entsprechend wichtig ist es, dass dies nur im Rahmen von TCC geschieht. Es ist aktuell kein Fall bekannt, in dem die Lücke tatsächlich ausgenutzt wurde, sie bestand allerdings offenbar schon länger.
Routine hält sich nicht an TCC-Schutz
Das Problem steckte dabei in der Routine com.apple.WorkflowKit.BackgroundShortcutRunner, die Kurzbefehle im Hintergrund ausführt. TCC-Abfragen, die Nutzer explizit genehmigen müssen, sollten eigentlich erscheinen, wenn eine Anwendung oder ein Prozess versucht, auf sensible Benutzerdaten oder Systemressourcen zuzugreifen. BitDefender stellte jedoch fest, dass die Routine auf "einige sensible Daten zugreifen konnte, obwohl sich das Profil innerhalb der Sandbox befand".
Ein weiteres Problem war die "Expand URL"-Funktionalität in Shortcuts. Über diese wurde das Base64-kodierte Material nach außen übertragen. Da die Kurzbefehle-Lücke mittlerweile geschlossen ist, besteht keine weitere Gefahr. Nutzer sollten ihre Betriebssysteme auf dem aktuellen Stand halten. Gleichzeitig zeigt es, dass Kurzbefehle mit Vorsicht verwendet werden sollten – man sollte sie sich vor dem Ausführen unbedingt ansehen und bei Merkwürdigkeiten besser löschen.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(bsc)
