iOS 17.3 已修正「快速指令」高風險漏洞:可傳送敏感數據

網路安全公司Bitdefender 近日發布報告,揭示了iOS 系統中「快捷指令」應用程式存在一個高風險漏洞,蘋果官方已經在iOS 17.3 更新中修復了該漏洞。

iOS 17.3 已修正「快速指令」高風險漏洞:可傳送敏感數據

此漏洞編號為CVE-2024-23204,CVSS評分高達7.5。這個漏洞利用「Expand URL」功能繞過了蘋果的TCC(透明度、同意與控制)權限系統,將照片、聯絡人、文件或剪貼簿資料等base64 編碼資料傳送到網站。攻擊者端的Flask 程式會擷取並儲存傳輸的數據,以便進行潛在利用。

iOS 17.3 已修正「快速指令」高風險漏洞:可傳送敏感數據

TCC 的英文是Transparency, Consent, and Control,旨在保護使用者的個人隱私資訊。它是在原來的傳統作業系統的使用者權限之外,保護特定涉及使用者個人隱私的信息,提供的存取控制的一層安全機制,也就是熟知的隱私與安全性的部分。

如果使用者不慎點擊了包含惡意內容的快速指令,其敏感資訊可能會洩漏給攻擊者。

蘋果已經在iOS 17.3、iPadOS 17.3 和macOS Sonoma 14.3 及更高版本的更新中修復了這個漏洞。

Leave a Reply

Your email address will not be published. Required fields are marked *