Apple Security-Lücke in Shortcuts-App ermöglicht Zugriff auf sensible Daten

Am 22. Januar 2024 veröffentlichte Apple ein Update für iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 und watchOS 10.3, um eine hochgradig gefährliche Sicherheitslücke in der Shortcuts-App zu beheben. Diese Schwachstelle mit dem Namen CVE-2024-23204 ermöglichte es einem Shortcut, ohne Zustimmung des Benutzers auf sensitive Informationen auf dem Gerät zuzugreifen.

Shortcuts ist eine Skriptanwendung von Apple, die es Benutzern ermöglicht, personalisierte Workflows zu erstellen, um spezifische Aufgaben auf ihren Geräten auszuführen. Der Fehler wurde von Bitdefender-Sicherheitsforscher Jubaer Alnazi Jabin entdeckt und gemeldet. Dadurch war es möglich, einen bösartigen Shortcut zu erstellen, um Transparenz-, Einwilligungs- und Kontrollrichtlinien zu umgehen.

Die Schwachstelle liegt in einer Shortcut-Aktion namens „Expand URL“, die in der Lage ist, verkürzte URLs, die mit einem URL-Verkürzungsdienst wie t.co oder bit.ly erstellt wurden, zu erweitern und zu bereinigen, während gleichzeitig UTM-Tracking-Parameter entfernt werden. Durch die Nutzung dieser Funktionalität war es möglich, die Base64-codierten Daten eines Fotos an eine bösartige Website zu senden.

Die übertragenen Daten werden dann mithilfe einer Flask-Anwendung auf Seiten des Angreifers erfasst und als Bild gespeichert, was die Möglichkeit für weitere Angriffe eröffnet. Der Forscher warnt davor, dass durch den Austausch von Shortcuts unter Benutzern die potenzielle Reichweite der Schwachstelle erhöht wird, da Benutzer unwissentlich Shortcuts importieren könnten, die CVE-2024-23204 ausnutzen.