Jiří Filip Microsoft nedávno odhalil vážnou zranitelnost v Spotlightu na iOS a macOS, která mohla útočníkům umožnit krást soukromá data z vašeho Macu. V blogu to popisují jako exploit pojmenovaný „Sploitlight“, protože zneužívá Spotlight pluginy.
Podstata problému spočívá v tom, že jde o obejití systému Transparency, Consent, and Control (TCC), který Apple používá k ochraně osobních údajů. Díky této chybě mohli útočníci získat přístup k přesným údajům o poloze, metadatům fotografií a videí, rozpoznávání tváří z Knihovny fotek, historii vyhledávání, AI shrnutím e-mailů či uživatelským preferencím.
Mohlo by vás zajímat
Jan Vajdák TCC má zabránit aplikacím v přístupu k citlivým datům bez vašeho svolení. Spotlight pluginy jsou sice sandboxované a přísně omezené, ale Microsoft objevil způsob, jak to obejít – upravil aplikace, které Spotlight načítá, a díky tomu unikla část obsahu souborů.
Microsoft o problému informoval Apple, který ho opravil v aktualizacích macOS 15.4 a iOS 15.4 vydaných 31. března. Naštěstí nebylo zranitelnosti nikdy aktivně zneužito, protože Apple dokázal reagovat včas. V bezpečnostním dokumentu Apple uvádí, že problém vyřešil vylepšeným filtrováním dat. Současně odstranil ještě dvě další zranitelnosti, na kterých se podílel Microsoft – týkaly se lepší kontroly symbolických odkazů a správy stavu systému.
Fotogalerie
