Apple'ın Yeni Keşfedilen Zero-Click Shortcuts Güvenlik Açığı

23.02.2024

Apple'ın Shortcuts uygulamasında yakın zamanda düzeltilen yüksek önem derecesine sahip bir güvenlik açığıyla ilgili yeni bilgiler ortaya çıktı. Bu açık, bir kısayolun kullanıcı onayı olmaksızın cihazdaki hassas bilgilere erişim sağlama potansiyeline sahipti.

CVE-2024-23204 olarak tanımlanan ve CVSS puanı 7.5 olan bu açık, Apple tarafından 22 Ocak 2024 tarihinde iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 ve watchOS 10.3 sürümleri ile giderildi.

Apple'a göre, sorun, bir kısayolun belirli eylemler aracılığıyla kullanıcının onayını almadan hassas verileri kullanmasına izin veriyordu ve düzeltme, "ek izin kontrolleri" uygulamayı içeriyordu.

Shortcuts uygulaması, kullanıcıların iOS, iPadOS, macOS ve watchOS cihazlarında belirli görevleri gerçekleştirmek için özel iş akışları oluşturmalarını sağlayan bir betik uygulamasıdır.

Güvenlik araştırmacısı Jubaer Alnazi Jabin, bu hatayı keşfeden ve bildiren kişiydi. Açığın, şeffaflık, onay ve kontrol (TCC) politikalarını atlayabilen kötü niyetli bir kısayol oluşturmak için potansiyel olarak kötüye kullanılabileceğini belirtti.

TCC, Apple'ın kullanıcı verilerini uygun izin olmadan yetkisiz erişime karşı korumak için tasarlanmış bir güvenlik çerçevesidir.

Açığın kökeni, "Expand URL" adlı bir kısayol eyleminde yatmaktadır. Bu eylem, t.co veya bit.ly gibi servislerden kısaltılmış URL'leri genişletebilir ve temizleyebilir, bu süreçte UTM takip parametrelerini kaldırabilir.

Saldırı yöntemini açıklayan Alnazi Jabin, "Bu işlevselliği kullanarak, bir fotoğrafın Base64 kodlu verilerini kötü amaçlı bir web sitesine iletmek mümkün hale geldi" dedi.

Süreç, Shortcuts içinde hassas verileri seçmek, içe aktarmak, base64 kodlama seçeneğiyle dönüştürmek ve nihayetinde kötü niyetli sunucuya göndermeyi içerir. Çalınan veriler daha sonra Flask uygulaması aracılığıyla saldırganın sunucusunda bir resim olarak yakalanır ve kaydedilebilir, bu da potansiyel olarak daha fazla kötüye kullanıma yol açabilir.