安全咬文嚼字：Jamf 暴露 TCC 跳过漏洞，允许静默访问 iCloud 数据

Mosyle，唯一一家Apple统一平台我们的使命是使Apple设备既工作就绪又安全可靠。我们独特的管理与安全集成方法结合了最先进的Apple特定安全解决方案，包括自动强化和合规、下一代EDR、基于AI的零信任和专有的特权管理，以及市场上最强大和现代的Apple MDM。结果是一个完全自动化的Apple统一平台，目前被超过45,000个组织信任，能够以极低的成本和几乎无需努力使数百万Apple设备工作就绪。今天请求您的延长试用，并了解为什么Mosyle是您与Apple合作所需的一切。上周，我收到了一份来自流行设备管理软件公司Jamf的安全研究部门的有趣报告，该报告详细描述了一个严重的但现在已经修复的iOS和macOS漏洞。该发现处于保密状态，但今天，我可以终于公开讨论它。Jamf Threat Labs 在 iOS 和 macOS 的透明度、同意和控制（TCC）子系统中发现了一个重大漏洞，该漏洞可能允许恶意应用程序在不触发任何通知或用户同意提示的情况下，完全 unnoticed 地访问敏感用户数据。作者：ad 我最喜欢的一些设备 55英寸站立式办公桌 我测试过的最喜爱的电动站立式办公桌。质量很好，价格更加实惠。

在苹果的生态系统中，TCC（通用控制中心）是一个极其重要的安全框架，它会提示用户授予、限制或拒绝单个应用程序访问敏感数据的请求。当你第一次打开应用程序时，你可能会遇到这些提示。然而，当这个控制机制失败时，可能会发生TCC绕过漏洞，从而允许应用程序在用户明确同意或知情的情况下访问私有信息。新发现的漏洞CVE-2024-44131影响Files.app和FileProvider.framework系统进程，可能导致用户隐私信息泄露，包括照片、GPS位置、联系人和健康数据。此外，Jamf表示，该漏洞也可能允许潜在恶意应用程序访问用户的麦克风和摄像头。该漏洞可以完全未被检测到地发生。

它是如何工作的

来自Jamf的研究团队发现，涉及利用iOS内部文件操作方式的符号链接的潜在绕过方法。通过在文件复制过程中战略性地插入一个符号链接，恶意应用程序可以在不触发TCC提示的情况下拦截和重定向文件移动。段当用户在Files.app中移动或复制文件时，后台恶意应用程序可以拦截这些操作并将文件重定向到应用程序控制的位置，Jamf Threat Labs报告解释说。通过利用fileproviderd的提升权限，恶意应用程序可以在不触发TCC提示的情况下劫持文件的移动或复制。这种利用可以在眨眼之间发生，完全不被最终用户察觉。作者：Some of my favorite gear M2 MacBook Air 我的最爱！轻便。快速。看似坚不可摧。最令人担忧的是这种漏洞的潜在隐蔽数据访问能力。由于这里没有触发TCC提示，用户没有任何迹象表明他们的数据正在被访问或移动到受攻击者控制的目录。特别容易受到攻击的是iCloud存储的文件，特别是那些位于/var/mobile/Library/Mobile Documents/目录下的文件。除了存储在这里的照片或文件外，这还可以包括来自WhatsApp、Pages及其他云同步应用程序的数据。未知该漏洞是否被积极利用。Jamf表示它已立即向Apple报告，Apple在2023年9月发布iOS 18和macOS 15的初始版本时修补了该漏洞。你可以在 [此处] 查看 Jamf Threat Lab 的完整研究。

更多关于苹果安全的信息

一款新发布的应用程序让你可以定期扫描iPhone以检测Pegasus间谍软件——它可以访问手机几乎所有的数据——只需一次性支付一美元。Moonlock Lab发布了其2024年威胁报告，详细介绍了AI工具如ChatGPT如何帮助编写恶意软件脚本，恶意软件即服务（MaaS）的转变，以及通过内部数据看到的其他有趣统计数据。苹果的密码应用现在为Mac用户提供了Firefox扩展。有趣的是，一个Reddit帖子揭示，这个扩展似乎是第三方开发者创建的。但苹果似乎在其品牌和名称下接管了它。Mosyle 专门向 透露了关于一种新型 Mac 病毒加载器家族的详细信息。Mosyle 的安全研究团队发现，这些新威胁使用非传统编程语言编写，并采用多种其他巧妙的技术来逃避检测。

关注 Arin：Twitter/X, LinkedIn, Threads