Die Experten der Bitdefender Labs warnen vor einer Schwachstelle in den Apple-Shortcuts (CVE-2024-23204). Die Lücke erlaubt es Hackern, das Apple Sicherheits-Framework Transparency Consent and Control (TCC) zu umgehen und Dateien zu exfiltrieren. Die mit 7,5 von 10 Punkten bewertete Lücke betrifft Betriebssystemumgebungen vor macOS Sonoma 14.3, iOS 17.3 und iPadOS 17.3.
Mit der beliebten Automatisierungs-App Apple Shortcuts für macOS- und iOS-Hardware können Nutzer automatisierte personalisierte Workflows für verschiedene Zwecke festlegen. Damit lassen sich einfache Aufgaben wie das Versenden von Nachrichten ebenso wie komplexe Abläufe, die verschiedene Anwendungen einbinden, regeln.
Workflows können Medien verwalten, Standort-basierte Dienste (Location Based Services – LBS) nutzen, Dateien verwalten und Smart-Home-Lösungen integrieren. Sie dienen aber auch dem Gesundheits- und Fitness-Tracking. Anwender, die Mitglied der Shortcuts-Community sind, teilen ihre Shortcuts und können so bösartige Shortcuts verbreiten.
Ein solcher manipulierter Shortcut umgeht bei CVE-2024-23204 auch das TCC-Sicherheitsframework von Daten. In der Folge können Hacker Daten exfiltrieren. Mit der „Expand URL“-Funktion wählen Hacker Daten wie Fotos, Kontakte, Dateien und Clipboard-Daten aus, encodieren sie für base64 und leiten sie an die Server der Angreifer weiter.
Apple hat einen Patch bereitgestellt und die Lücke geschlossen. Anwender werden dringend aufgefordert, ihre MaOS-, ipadOS- und watchOS-Geräte auf die Aktualität ihrer Software-Versionen zu überprüfen. Gleichzeitig sollten sie Shortcuts einer unbekannten Quelle nur mit Vorsicht ausführen. Auch für Apple-Hardware sollten ihre Besitzer ständig überprüfen, welche Sicherheitsupdates und Patches Apple herausgibt.