Bezpečnostní tým Microsoft Threat Intelligence zveřejnil podrobnosti o zranitelnosti v systému Spotlight, která mohla útočníkům umožnit přístup k citlivým uživatelským datům. Exploit, který Microsoft označil jako „Sploitlight“, zneužíval Spotlight pluginy a obcházel ochranný systém Transparency, Consent, and Control (TCC). Podle Microsoftu mohl útočník pomocí takového zneužití získat přesná data o poloze, metadata fotografií a videí, historii hledání, předvolby uživatele nebo dokonce data z rozpoznávání obličeje či shrnutí e-mailů vytvořené pomocí Apple Intelligence.
Mohlo by vás zajímat
I když Spotlight pluginy běžně fungují v sandboxovaném režimu a nemají přístup k citlivému obsahu, výzkumníci z Microsoftu upravili aplikační balíčky tak, aby se systém Spotlight choval neočekávaně a citlivá data unikla. Microsoft chybu nahlásil Applu, který ji opravil v aktualizacích macOS 15.4 a iOS 15.4 vydaných 31. března. Apple uvedl, že problém byl vyřešen pomocí zlepšené redakce dat. Žádné důkazy o tom, že by byla zranitelnost aktivně zneužita, se podle dostupných informací nenašly. Další technické detaily a ukázky zneužití najdete přímo v blogovém příspěvku Microsoftu.
Fotogalerie
veta „nebo dokonce data z rozpoznávání obličeje“ ma celkom „potešila“. paradoxne…. nikdy som applu nedal moju tvár… bol som za paranoidného. pred uživateľmi, aj pred applom. kvôli tomu vlastne mám výrez na telefone „tri“ diery v displayi zbytočne, pričom, vždy som tvrdil, že táto služba môže byť hacknutá. a je to tu. a neviem…stále mi príde lepšie, ak mi útočník ukradne heslo, ktoré kedykoľvek zmením …ako keď mi ukradne odtlačok alebo vlastnú tvár. reálne sa v podstate…nehnevám…ani nejdem hejtiť apple. VSETKY data vie niekto ukradnuť. ak nie dnes, tak zajtra. tak treba k veci pristupovať.