Дослідники з Microsoft виявили серйозну брешу в системі безпеки macOS, яка дозволяла кіберзлочинцям обходити ключові механізми захисту та отримувати несанкціонований доступ до конфіденційних користувацьких даних. Уразливість, отримала назву Sploitlight та ідентифікатор CVE-2025-31199, була успішно усунена Apple у березні 2025 року з випуском оновлення macOS Sequoia 15.4.
Система TCC: фундаментальний бар’єр безпеки macOS
Transparency, Consent, and Control (TCC) є основоположним захисним фреймворком операційної системи macOS, який регулює доступ додатків до персональної інформації користувачів. Цей механізм відповідає за відображення запитів на дозволи під час запуску нових програм та попереджень при спробах доступу до чутливих даних, включаючи контакти, фотографії, камеру та мікрофон.
TCC функціонує як цифровий охоронець, забезпечуючи контроль над інформацією, доступною додаткам на всіх пристроях Apple. Обхід цього захисного механізму відкриває зловмисникам прямий шлях до найцінніших користувацьких даних.
Технічні аспекти експлуатації Sploitlight
Фахівці Microsoft встановили, що попри жорсткі обмеження Apple, які дозволяють доступ до TCC лише додаткам з повним доступом до диска, атакуючі могли використовувати привілейований доступ плагінів Spotlight для компрометації системи безпеки. Уразливість експлуатувала особливості роботи пошукової системи Spotlight, дозволяючи хакерам отримувати неавторизований доступ до захищених файлів без активації стандартних механізмів TCC.
Масштаби загрози: під ударом дані Apple Intelligence
Особливу небезпеку становить той факт, що уразливість надавала доступ до кешованих даних Apple Intelligence – найновішої системи штучного інтелекту компанії. Серед скомпрометованої інформації могли опинитися:
• Метадані фотографій та відеофайлів
• Точні дані геолокації користувачів
• Інформація про розпізнавання облич та людей
• Детальна історія пошуку та користувацькі переваги
• Дані про фотоальбоми та спільні бібліотеки
• Видалені фотографії та відеоматеріали
Віддалена компрометація через iCloud
Критичність ситуації посилюється можливістю віддаленого доступу до даних інших пристроїв через обліковий запис iCloud. Це означає, що зловмисник, отримавши фізичний доступ до одного пристрою macOS, міг витягувати конфіденційну інформацію з усіх інших пристроїв Apple, пов’язаних з тим самим користувацьким акаунтом.
Відмінності від попередніх уразливостей TCC
Хоча раніше вже були виявлені способи обходу захисту TCC, включаючи уразливості HM-Surf та powerdir, Sploitlight представляє якісно новий рівень загрози. Ключова відмінність полягає у здатності витягувати дані Apple Intelligence, що відкриває доступ до значно ширшого масиву персональної інформації.
Сучасні системи штучного інтелекту акумулюють та аналізують величезні обсяги користувацьких даних, створюючи детальні цифрові профілі. Компрометація цих даних може мати довгострокові наслідки для конфіденційності та безпеки користувачів.
Усунення уразливості Sploitlight підкреслює важливість своєчасного оновлення операційних систем та необхідність постійного моніторингу нових загроз кібербезпеки. Користувачам macOS рекомендується негайно встановити всі доступні оновлення безпеки та регулярно перевіряти дозволи додатків для мінімізації ризиків компрометації особистих даних.
