Microsoft-Sicherheitsforscher haben eine schwerwiegende Schwachstelle in Apples macOS-Betriebssystem aufgedeckt, die es Angreifern ermöglichte, essenzielle Sicherheitsmechanismen zu umgehen und auf vertrauliche Nutzerdaten zuzugreifen. Die als Sploitlight bezeichnete Sicherheitslücke mit der Kennung CVE-2025-31199 wurde von Apple im März 2025 durch das Update macOS Sequoia 15.4 geschlossen.
TCC-Schutzmechanismus: Das Fundament der macOS-Sicherheit
Das Transparency, Consent, and Control (TCC) Framework bildet das Rückgrat der macOS-Datenschutzarchitektur. Dieses System kontrolliert den Zugriff von Anwendungen auf sensible Benutzerdaten und zeigt Berechtigungsanfragen an, wenn Programme auf Kontakte, Fotos, Kamera oder Mikrofon zugreifen möchten.
Als zentraler Sicherheitsmechanismus fungiert TCC wie ein digitaler Torwächter, der bestimmt, welche Informationen Anwendungen auf Apple-Geräten zugänglich sind. Ein erfolgreicher Bypass dieses Schutzsystems gewährt Cyberkriminellen direkten Zugang zu wertvollsten Nutzerdaten.
Angriffsmethodik der Sploitlight-Schwachstelle
Die Sicherheitsexperten von Microsoft entdeckten, dass Angreifer trotz Apples strenger Beschränkungen, die normalerweise nur Anwendungen mit vollständigem Festplattenzugriff TCC-Zugang gewähren, die privilegierten Zugriffsrechte von Spotlight-Plugins ausnutzen konnten.
Die Sploitlight-Vulnerabilität missbrauchte spezielle Eigenschaften der macOS-Suchfunktion Spotlight, wodurch Cyberkriminelle unauthorisierten Zugriff auf geschützte Dateien erlangen und deren Inhalte extrahieren konnten, ohne die standardmäßigen TCC-Sicherheitsmechanismen zu aktivieren.
Bedrohungsumfang: Apple Intelligence-Daten im Visier
Besonders alarmierend ist die Tatsache, dass die Schwachstelle Zugriff auf gecachte Apple Intelligence-Daten ermöglichte – Apples neueste KI-Technologie. Zu den kompromittierten Informationen gehörten:
• Metadaten von Foto- und Videodateien
• Präzise Standortdaten der Nutzer
• Gesichts- und Personenerkennungsinformationen
• Detaillierte Suchverläufe und Nutzervorlieben
• Fotoalben- und geteilte Bibliotheksdaten
• Gelöschte Fotos und Videomaterialien
Remote-Kompromittierung über iCloud-Infrastruktur
Die Kritikalität der Situation wird durch die Möglichkeit des Remote-Zugriffs auf Daten anderer Geräte über iCloud-Accounts verstärkt. Dies bedeutet, dass ein Angreifer mit physischem Zugang zu einem macOS-Gerät vertrauliche Informationen von allen anderen Apple-Geräten desselben Nutzerkontos extrahieren konnte.
Diese Fähigkeit multipliziert die Bedrohung erheblich und verwandelt die Kompromittierung eines einzelnen Geräts in eine potenzielle Sicherheitslücke für das gesamte digitale Ökosystem des Nutzers.
Abgrenzung zu früheren TCC-Schwachstellen
Obwohl bereits zuvor TCC-Bypass-Methoden wie HM-Surf und powerdir entdeckt wurden, stellt Sploitlight eine qualitativ neue Bedrohungsebene dar. Der entscheidende Unterschied liegt in der Fähigkeit, Apple Intelligence-Daten zu extrahieren, was Zugang zu einem wesentlich umfassenderen Spektrum persönlicher Informationen eröffnet.
Moderne KI-Systeme sammeln und analysieren massive Mengen an Nutzerdaten und erstellen detaillierte digitale Profile. Die Kompromittierung dieser Daten kann langfristige Auswirkungen auf Privatsphäre und Sicherheit der Betroffenen haben.
Die Behebung der Sploitlight-Schwachstelle unterstreicht die Bedeutung zeitnaher Betriebssystem-Updates und die Notwendigkeit kontinuierlicher Überwachung neuer Cybersicherheitsbedrohungen. macOS-Nutzer sollten umgehend alle verfügbaren Sicherheitsupdates installieren und regelmäßig Anwendungsberechtigungen überprüfen, um Risiken einer Datenkompromittierung zu minimieren.