꿈을꾸는 파랑새

반응형

애플에서 제공하는 운영체제인 iOS 에서 발견된 CVE-2024-23204 취약점을 해결한  iOS 17.3, iPadOS 17.3,macOS Sonoma 14.3 및 watchOS 10.3 에 대한 OS 업데이트 작업이 되었습니다. 제로 클릭 바로 가기 보안 취약점은 사용자에게 메시지를 표시하지 않고 특정 작업으로 민감한 데이터를 사용할 수 있다. 이며 추가 권한 확인 및 수정을 했습니다.
Apple Shortcuts는 스크립팅 애플리케이션 위한 개인화된 작업 흐름(일명 매크로)을 생성할 수 있는 실행하기 사용자가 자신의 장치에서 특정 작업이며 iOS, iPadOS, macOS 및 watchOS 운영 체제에는 기본적으로 설치되어 있습니다.
(투명성, 동의 및 제어) 정책을 우회할 수 있는 악성 바로가기를 생성하도록 무기화될 수 있다고 합니다.
해당 취약점 동작 관련해서 
Bitdefender 보안 관계자들이 해당 관련해서 유튜브로 업로드를 했습니다.
TCC 는 우선 적절한 권한을 요청하지 않고 무단 액세스로부터 사용자 데이터를 보호하도록 설계돼 있으며 특히, 이 결함은 t(.)co 또는 bit(.)ly와 같은 URL 단축 서비스를 사용하여 단축된 URL을 확장하고 정리하는 동시에 UTM 추적 매개변수도 제거할 수 있는 URL 확장이라는 바로가기 작업에 뿌리를 두고 있습니다.

Apple watch
Apple watch

Base 64로 인코딩된 사진 데이터를 악성 웹사이트로 전송할 수 있으며 바로 가기 내에서 민감한 데이터(사진, 연락처, 파일 및 클립보드 데이터)를 선택하고 이를 가져오고 나서 base64 인코딩 옵션을 사용하여 변환하고 악성 서버로 전달하는 작업이 포함

그런 다음 유출된 데이터는 Flask 애플리케이션을 사용하여 공격자 측에 이미지로 캡처 및 저장되어 후속 악용을 위한 기반을 제공합니다. 연구원은 바로 가기를 내보내고 사용자 간에 공유할 수 있는데 이는 바로 가기 커뮤니티의 일반적인 관행이라고 말했으며 해당 공유 메커니즘은 사용자가 CVE-2024-23204를 악용할 수 있는 바로 가기를 무의식적으로 가져오기 때문에 취약점의 잠재적 범위를 확장합니다.

즉 애플의 아이폰, 아이 패드, 애플 워치를 사용을 하시는 분들은 조금 시간을 투자해서 보안 업데이트를 하고 사용을 하는 것을 권장합니다.

반응형
그리드형

공유하기

facebook twitter kakaoTalk kakaostory naver band