Exploração de links simbólicos permite desvio de TCC no iOS e macOS

Pesquisadores descobrem exploração de links simbólicos que permite o desvio de TCC no iOS e macOS

Surgiram detalhes sobre uma vulnerabilidade de segurança agora corrigida no iOS e macOS da Apple que, se explorada com sucesso, pode contornar a estrutura de Transparência, Consentimento e Controle (TCC) e resultar em acesso não autorizado a informações confidenciais.

A falha, rastreada como CVE-2024-44131 (pontuação CVSS: 5.3), reside no componente FileProvider, por Apple, e foi resolvida com validação aprimorada de links simbólicos (links simbólicos) no iOS 18, iPadOS 18 e macOS Sequoia 15.

O Jamf Threat Labs, que descobriu e relatou a falha, disse que o desvio do TCC pode ser explorado por um invasor instalado no sistema para obter dados confidenciais sem o conhecimento dos usuários.

O TCC serve como uma proteção de segurança crítica em dispositivos Apple, oferecendo aos usuários finais uma maneira de permitir ou negar uma solicitação de aplicativos para acessar dados confidenciais, como localização GPS, contatos e fotos, entre outros.

“Este desvio de TCC permite acesso não autorizado a arquivos e pastas, dados de saúde, microfone ou câmera e muito mais sem alertar os usuários”, disse a empresa. “Isso mina a confiança do usuário na segurança dos dispositivos iOS e expõe os dados pessoais a riscos.”

Em sua essência, a vulnerabilidade permite que um aplicativo malicioso executado em segundo plano intercepte ações feitas pelo usuário para copiar ou mover arquivos dentro do aplicativo Arquivos e redirecioná-los para um local sob seu controle.

Esse sequestro funciona aproveitando os privilégios elevados do fileproviderd, um daemon que lida com operações de arquivo associadas ao iCloud e outros gerenciadores de arquivos em nuvem de terceiros, para mover os arquivos, após o que eles podem ser carregados em um servidor remoto.

“Especificamente, quando um usuário move ou copia arquivos ou diretórios usando Files.app dentro de um diretório acessível por um aplicativo malicioso em execução em segundo plano, o invasor pode manipular links simbólicos para enganar o aplicativo Arquivos”, disse Jamf.

“O novo método de ataque de link simbólico primeiro copia um arquivo inocente, fornecendo um sinal detectável para um processo malicioso de que a cópia foi iniciada. Em seguida, um link simbólico é inserido depois que o processo de cópia já está em andamento, ignorando efetivamente a verificação do link simbólico.”

Um invasor pode, portanto, empregar o método para copiar, mover ou até mesmo excluir vários arquivos e diretórios no caminho “/var/mobile/Library/Mobile Documents/” para acessar os dados de backup do iCloud associados a aplicativos próprios e de terceiros e exfiltrá-los.

O que é significativo sobre essa brecha é que ela prejudica totalmente a estrutura TCC e não aciona nenhum prompt para o usuário. Dito isto, o tipo de dados que podem ser acessados depende de qual processo do sistema está executando a operação do arquivo.

“A gravidade dessas vulnerabilidades depende dos privilégios do processo visado”, disse Jamf. “Isso revela uma lacuna na aplicação do controle de acesso para certos tipos de dados, pois nem todos os dados podem ser extraídos sem alerta devido a essa condição de corrida.”

“Por exemplo, os dados dentro de pastas protegidas por UUIDs atribuídos aleatoriamente e os dados recuperados por meio de APIs específicas não são afetados por esse tipo de ataque.”

O desenvolvimento ocorre quando a Apple lançou atualizações para todos os seus softwares para corrigir vários problemas, incluindo quatro falhas no WebKit que podem resultar em corrupção de memória ou falha de processo e uma vulnerabilidade lógica em áudio (CVE-2024-54529) que pode permitir que um aplicativo execute código arbitrário com privilégios de kernel.

Também corrigido pelo fabricante do iPhone está um bug no Safari (CVE-2024-44246) que pode permitir que um site colete o endereço IP de origem ao adicioná-lo à Lista de Leitura em um dispositivo com o Private Relay ativado. A Apple disse que corrigiu o problema com “roteamento aprimorado de solicitações originadas do Safari”.

Fonte The Hacker News

Veja também:

• Exploits e vulnerabilidades no 3º trimestre de 2024
• Os códigos QR ignoram o isolamento do navegador para comunicação C2 maliciosa
• Black Basta Ransomware evolui
• Ataques de Engenharia Social sofisticados com IA
• 2025: ano crucial para investir em planos de disaster recovery
• Custo médio global de uma violação de dados atingiu US$ 4,88 milhões
• Criminosos roubaram credenciais da AWS
• Google Workspace Sync desatualizado bloqueia atualizações do Windows 11 24H2
• Da confiança à tecnologia: o pilar da cibersegurança nos bancos modernos
• Vulnerabilidade de implantação/inicialização do HCL DevOps
• Vídeo ‘viraliza’ por mulher se recusar a ceder janela de avião
• Deloitte responde após grupo de ransomware alegar roubo de dados