innovaTopia

ーTech for Human Evolutionー

News Category

AI(人工知能)
量子コンピューター
スペーステクノロジー
サイバーセキュリティ
VR/AR
テクノロジーとエンタメ
チャットボット
ブロックチェーン
半導体
バイオテクノロジー
ニューロテクノロジー
ロボティクス
ヘルスケア
テクノロジーと社会
サステナブル

もっと見る

エネルギー
ナノテクノロジー
メタバース
ドローン
モビリティ
スマート農業
スマート工場
3Dプリンター
デジタルツイン
IoT
エッジコンピューティング
デジタルアイデンティティ
ビッグデータ
クラウドコンピューティング
テクノロジーと経済
未分類

Apple Shortcutsアプリのセキュリティ脆弱性、緊急修正で機密情報保護を強化

Apple Shortcutsアプリのセキュリティ脆弱性、緊急修正で機密情報保護を強化 - innovaTopia - (イノベトピア)

Last Updated on 2024-07-03 05:06 by admin

AppleのShortcutsアプリに関する高重大度のセキュリティ脆弱性が修正された。この脆弱性は、ユーザーの同意なしにデバイス上の機密情報にアクセスできるショートカットを許可する可能性があった。CVE-2024-23204(CVSSスコア:7.5)として追跡され、2024年1月22日にiOS 17.3、iPadOS 17.3、macOS Sonoma 14.3、およびwatchOS 10.3のリリースにより対処された。「追加の権限チェック」により修正されたとAppleはアドバイザリーで述べている。

Apple Shortcutsは、特定のタスクをデバイス上で実行するためのパーソナライズされたワークフロー(マクロとも呼ばれる)を作成することを可能にするスクリプティングアプリケーションである。iOS、iPadOS、macOS、およびwatchOSオペレーティングシステムにデフォルトでインストールされている。Bitdefenderのセキュリティ研究者Jubaer Alnazi Jabinによって発見されたこのバグは、TCCポリシーを迂回する悪意のあるショートカットを作成するために悪用される可能性がある。TCCは、適切な許可を最初に要求せずにユーザーデータを不正アクセスから保護するために設計されたAppleのセキュリティフレームワークである。

具体的には、この脆弱性は「Expand URL」と呼ばれるショートカットアクションに根ざしており、t.coやbit.lyなどのURL短縮サービスを使用して短縮されたURLを展開およびクリーンアップし、UTMトラッキングパラメータを削除する機能を持つ。この機能を利用することで、悪意のあるウェブサイトに写真のBase64エンコードデータを送信することが可能になったとAlnazi Jabinは説明している。この方法では、Shortcuts内の任意の機密データ(写真、連絡先、ファイル、クリップボードデータ)を選択し、インポートし、base64エンコードオプションを使用して変換し、最終的に悪意のあるサーバーに転送する。

攻撃者の端末でFlaskアプリケーションを使用して画像として保存される転送されたデータは、続く悪用の道を開く。ショートカットはユーザー間でエクスポートおよび共有されることが一般的であり、この共有メカニズムはCVE-2024-23204を悪用する可能性のあるショートカットを知らずにインポートするユーザーの潜在的なリーチを拡大する。

【ニュース解説】

AppleのShortcutsアプリにおける高重大度のセキュリティ脆弱性が修正されたというニュースがあります。この脆弱性は、ユーザーの同意なしにデバイス上の機密情報にアクセスできるショートカットを許可する可能性があるというもので、CVE-2024-23204として追跡されています。この問題は、iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3、およびwatchOS 10.3のリリースにより、「追加の権限チェック」を導入することで対処されました。

Apple Shortcutsは、ユーザーがデバイス上で特定のタスクを自動化するためのパーソナライズされたワークフローを作成できるスクリプティングアプリケーションです。このアプリケーションは、iOS、iPadOS、macOS、およびwatchOSオペレーティングシステムにデフォルトでインストールされています。

この脆弱性の根本原因は、「Expand URL」というショートカットアクションにあります。このアクションは、URL短縮サービスを使用して短縮されたURLを展開し、クリーンアップする機能を持ち、UTMトラッキングパラメータを削除することができます。研究者によると、この機能を悪用することで、悪意のあるウェブサイトに写真のBase64エンコードデータを送信することが可能になります。

この脆弱性の発見と報告は、Bitdefenderのセキュリティ研究者であるJubaer Alnazi Jabinによって行われました。彼は、この脆弱性を悪用して、AppleのTransparency, Consent, and Control (TCC) ポリシーを迂回する悪意のあるショートカットを作成することが可能であると指摘しています。TCCは、ユーザーデータを不正アクセスから保護するために設計されたAppleのセキュリティフレームワークです。

この脆弱性の影響は、ショートカットがユーザー間でエクスポートおよび共有されることが一般的であるため、特に深刻です。この共有メカニズムにより、ユーザーは自分がインポートするショートカットがCVE-2024-23204を悪用する可能性があることを知らずに、潜在的なリスクにさらされることになります。

この問題の修正により、Appleはユーザーのデータ保護を強化し、悪意のあるアクターによる機密情報の不正アクセスを防ぐことができるようになりました。しかし、この事件は、ユーザーが第三者から提供されるショートカットをインポートする際のリスクを改めて浮き彫りにし、デジタルセキュリティの重要性を再認識させるものです。将来的には、Appleや他のテクノロジー企業が、ユーザーのデータ保護をさらに強化するための新たな対策を講じることが期待されます。

from Researchers Detail Apple's Recent Zero-Click Shortcuts Vulnerability.

author avatar
admin
See Full Bio
ホーム » サイバーセキュリティ » サイバーセキュリティニュース » Apple Shortcutsアプリのセキュリティ脆弱性、緊急修正で機密情報保護を強化

“Apple Shortcutsアプリのセキュリティ脆弱性、緊急修正で機密情報保護を強化” への1件のコメント

  1. 渡辺 淳のアバター
    渡辺 淳

    このニュースは、私たちが普段使っているテクノロジー製品がどれほど複雑で、その複雑さがどのようにセキュリティの脆弱性を生み出しているかを示しています。AppleのShortcutsアプリのこの脆弱性は特に興味深いです。なぜなら、このアプリは日常の作業を自動化し、私たちの生活をより便利にすることを目的としているからです。しかし、同時に、このような便利さが悪意のある目的で利用される余地を提供してしまっているのです。

    特に、この脆弱性が「Expand URL」という比較的単純なショートカットアクションに根ざしているという点は、どのような機能も安全性を確保することがいかに重要であるかを強調しています。URLの短縮サービスという日常的に使われるものを悪用される可能性があるとは、多くの人が予想しないことでしょう。

    私としては、この脆弱性が発見され、修正されたことを非常に高く評価します。セキュリティ研究者が積極的に脆弱性を発見し、報告することで、テクノロジー企業はより安全な製品を提供することができます。しかし、この事件は、ユーザーとしても提供される機能やアプリケーションのセキュリティに常に注意を払う必要があることを思

Latest News