網(wǎng)絡(luò)安全公司 Bitdefender 近日發(fā)布博文，詳細(xì)披露了 iOS 快捷指令應(yīng)用中的高危漏洞，蘋果已經(jīng)于 iOS 17.3 更新中修復(fù)了該漏洞。

　　該漏洞追蹤編號為 CVE-2024-23204，CVSS 評分定為 7.5 分（滿分為 10 分），主要利用Expand URL功能繞過蘋果的 TCC 權(quán)限系統(tǒng)，將照片、聯(lián)系人、文件或剪貼板數(shù)據(jù)等 base64 編碼數(shù)據(jù)傳送到網(wǎng)站。攻擊者端的 Flask 程序會捕獲并存儲傳輸?shù)臄?shù)據(jù)，以便進(jìn)行潛在利用。

　　TCC 的英文是 Transparency, Consent, and Control，本質(zhì)上說不是權(quán)限，而是在原來的傳統(tǒng)操作系統(tǒng)的用戶權(quán)限之外，為了保護(hù)特定涉及用戶個人隱私的信息，提供的訪問控制的一層安全機(jī)制，也就是熟知的隱私與安全性的部分。

　　用戶如果點擊包含惡意內(nèi)容的快捷指令，就可能將自己的敏感信息傳送給攻擊者。用戶更新 iOS 17.3、iPadOS 17.3 或 macOS Sonoma 14.3 及更高版本，以及免疫該攻擊傷害。

　　附上關(guān)于該漏洞的詳細(xì)披露原文，感興趣的用戶可以深入閱讀。