Lỗ hổng có định danh CVE-2024-23204 (điểm CVSS: 7,5), có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng. Apple đã giải quyết nó vào ngày 22/1/2024, với việc phát hành iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3, và watchOS 10.3.

“Một Shortcut có thể sử dụng dữ liệu nhạy cảm mà không cần nhắc người dùng”, nhà sản xuất iPhone cho biết đồng thời thông tin nó đã được sửa bằng “kiểm tra quyền bổ sung”.

Apple Shortcut là một ứng dụng cho phép người dùng tạo quy trình làm việc riêng (còn gọi là macro) để thực hiện các tác vụ cụ thể trên thiết bị của họ. Nó được cài đặt theo mặc định trên các hệ điều hành iOS, iPadOS, macOS và watchOS.

Nhà nghiên cứu Jubaer Alnazi Jabin của Bitdefender, người đã phát hiện và báo cáo lỗ hổng, cho biết lỗi này có thể bị khai thác để tạo một Shortcut độc hại nhằm vượt qua các chính sách bảo mật Minh bạch, Đồng thuận và Kiểm soát (TCC).

TCC là một framework bảo mật của Apple được thiết kế để bảo vệ dữ liệu người dùng khỏi bị truy cập trái phép mà không yêu cầu quyền thích hợp ngay từ đầu.

Cụ thể, lỗ hổng này bắt nguồn từ một tính năng shortcut được gọi là "Expand URL", có khả năng mở rộng các URL đã được rút ngắn bằng các dịch vụ rút ngắn URL như t.co hoặc bit.ly, đồng thời xóa các tham số theo dõi UTM.

Alnazi Jabin cho biết rằng chức năng này có thể bị lạm dụng để truyền dữ liệu đã được mã hóa Base64 đến một trang web độc hại.

“Phương pháp này liên quan đến việc chọn bất kỳ dữ liệu nhạy cảm nào (Ảnh, Danh bạ, Tệp và dữ liệu clipboard) trong các shortcut, import dữ liệu đó, chuyển đổi nó bằng tùy chọn mã hóa base64 và cuối cùng chuyển tiếp nó đến máy chủ độc hại”.

Nhà nghiên cứu cho biết: “Các shortcut có thể được trích xuất và chia sẻ giữa những người dùng. Cơ chế chia sẻ này làm tăng phạm vi tiếp cận tiềm năng của lỗ hổng khi người dùng vô tình thêm vào (import) các shortcut độc hại có thể kích hoạt CVE-2024-23204”.