Apple corrige una alta severidad vulnerabilidad en su aplicación de atajos
Apple ha solucionado una falla de seguridad de alta severidad en la aplicación de Atajos. La vulnerabilidad, identificada como CVE-2024-23204 (puntuación CVSS: 7.5), permitía que se accediera a información delicada del dispositivo sin el consentimiento del usuario. La compañía Apple solucionó el problema el día 22 de enero de 2024 con el lanzamiento de la actualización iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 y watchOS 10.3.
La aplicación de Atajos de Apple es una herramienta que permite crear flujos de trabajo personalizados para realizar tareas específicas en los dispositivos. La aplicación viene instalada por defecto en los sistemas operativos de iOS, iPadOS, macOS y watchOS.
El investigador de seguridad de Bitdefender, Jubaer Alnazi Jabin, descubrió y reportó la falla en la aplicación de Atajos, diciendo que el problema pudo ser explotado para crear un atajo malicioso que pudiera evadir las políticas de Transparencia, Consentimiento y Control (TCC).
La vulnerabilidad fue originada por una acción de Atajos conocida como «Expandir URL». Esta acción es capaz de expandir y limpiar enlaces acortados utilizando un servicio de acortamiento de URL. «Mediante el uso de esta característica, fue posible transmitir los datos codificados en Base64 de una fotografía hacia un sitio web malintencionado», explicó Alnazi Jabin.
El fallo fue solucionado mediante «verificaciones adicionales de permisos», afirmó Apple en su comunicado, y añadió que, «un atajo, mediante ciertas acciones, puede trabajar con información sensible sin pedir consentimiento al usuario».
Los atajos pueden ser exportados y compartidos entre usuarios, una práctica común dentro de la comunidad de Atajos, lo que aumenta la vulnerabilidad de los usuarios al potencial alcance de la vulnerabilidad, ya que los usuarios importan atajos que podrían explotar la CVE-2024-23204 sin saberlo.
Vía The Hacker News
