小白号网络安全公司 Bitdefender 最近发布了一份报告,揭示了 iOS“快捷命令”应用程序中的一个高风险漏洞。 苹果官方在 iOS 17.3 更新中修复了该漏洞。
该漏洞编号为CVE-2024-23204,CVSS评分为7.5。 该漏洞利用“提取 URL”功能绕过 Apple 的 TCC(透明度、同意和控制)权限系统,并将 Base64 编码的数据(例如照片、联系人、文件和剪贴板数据)暴露给网站。 攻击者的 Flask 程序捕获并存储提交的数据以供潜在的利用。
TCC的英文意思是Transparency(透明)、Consent(同意)、Control(控制),旨在保护用户的个人隐私信息。 它是除了原有的传统操作系统用户权限之外,保护某些与用户个人隐私相关的信息的一层访问控制的安全机制,也称为隐私和安全部分。
如果用户单击包含恶意内容的快捷方式,敏感信息可能会泄露给攻击者。
Apple 在 iOS 17.3、iPadOS 17.3 和 macOS Sonoma 14.3 及更高版本中修复了此漏洞。
评论前必须登录!
注册