Исследователи Microsoft обнаружили серьезную уязвимость в операционной системе macOS, которая позволяла злоумышленникам обходить критически важные механизмы защиты и получать доступ к конфиденциальным данным пользователей. Брешь в безопасности, получившая название Sploitlight и идентификатор CVE-2025-31199, была устранена компанией Apple в марте 2025 года с выходом обновления macOS Sequoia 15.4.
Что такое система защиты TCC и почему ее обход критичен
Transparency, Consent, and Control (TCC) представляет собой фундаментальный защитный механизм macOS, контролирующий доступ приложений к персональной информации пользователей. Этот фреймворк отвечает за отображение запросов разрешений при запуске новых приложений и предупреждений при попытках доступа к чувствительным данным, включая контакты, фотографии, камеру и микрофон.
Система TCC действует как цифровой страж, обеспечивающий контроль над тем, какая информация доступна приложениям на всех устройствах Apple. Обход этого механизма защиты открывает злоумышленникам прямой путь к наиболее ценной пользовательской информации.
Механизм эксплуатации уязвимости Sploitlight
Специалисты Microsoft выявили, что несмотря на строгие ограничения Apple, позволяющие доступ к TCC только приложениям с полным доступом к диску, атакующие могли использовать привилегированный доступ плагинов Spotlight для компрометации системы безопасности.
Уязвимость Sploitlight эксплуатировала особенности работы поисковой системы Spotlight в macOS, позволяя злоумышленникам получать несанкционированный доступ к защищенным файлам и извлекать их содержимое без активации стандартных механизмов защиты TCC.
Масштаб угрозы: данные Apple Intelligence под ударом
Особую опасность представляет тот факт, что уязвимость позволяла получать доступ к кешированным данным Apple Intelligence — новейшей системы искусственного интеллекта компании. Среди скомпрометированной информации могли оказаться:
• Метаданные фотографий и видеофайлов
• Точные данные геолокации пользователей
• Информация о распознавании лиц и людей
• Детальная история поиска и пользовательские предпочтения
• Данные о фотоальбомах и общих библиотеках
• Удаленные фотографии и видеоматериалы
Удаленная компрометация через iCloud
Критичность ситуации усугубляется возможностью удаленного доступа к данным других устройств через учетную запись iCloud. Это означает, что злоумышленник, получив физический доступ к одному устройству macOS, мог извлекать конфиденциальную информацию со всех других устройств Apple, связанных с той же учетной записью пользователя.
Такая возможность мультиплицирует угрозу, превращая компрометацию одного устройства в потенциальную брешь всей цифровой экосистемы пользователя.
Отличия от предыдущих уязвимостей TCC
Хотя ранее уже были обнаружены способы обхода защиты TCC, включая уязвимости HM-Surf и powerdir, Sploitlight представляет качественно новый уровень угрозы. Ключевое отличие заключается в способности извлекать данные Apple Intelligence, что открывает доступ к значительно более обширному массиву персональной информации.
Современные системы ИИ аккумулируют и анализируют огромные объемы пользовательских данных, создавая детальные цифровые профили. Компрометация этих данных может иметь долгосрочные последствия для конфиденциальности и безопасности пользователей.
Устранение уязвимости Sploitlight подчеркивает важность своевременного обновления операционных систем и необходимость постоянного мониторинга новых угроз кибербезопасности. Пользователям macOS рекомендуется незамедлительно установить все доступные обновления безопасности и регулярно проверять разрешения приложений для минимизации рисков компрометации личных данных.