Microsoft odhalil zraniteľnosť v macOS, ktorá umožňovala únik citlivých dát z Apple Intelligence. Apple vydal opravu v marci 2025.
Microsoft Threat Intelligence odhalil závažnú zraniteľnosť v operačnom systéme macOS, ktorá umožňovala obísť systém ochrany súkromia TCC (Transparency, Consent and Control) a získať prístup k súborom, ktoré sú za bežných okolností chránené – vrátane zložky Downloads, ale aj dát uložených Apple Intelligence, ako sú geolokačné údaje, fotky, video metadáta či rozpoznávanie osôb.
“Sploitlight”: Zneužitie Spotlight pluginov
Microsoft nazval zraniteľnosť Sploitlight, pretože zneužíva Spotlight pluginy (tzv. .mdimporter balíky), ktoré bežne slúžia na indexáciu súborov pre vyhľadávanie v macOS.
Aj keď Apple uvalil prísne sandboxové obmedzenia na tieto pluginy, výskumníci dokázali zneužiť ich privilegovaný prístup na exfiltráciu dát, a to bez súhlasu používateľa.
Čo bolo v ohrození?
Zraniteľnosť umožnila útočníkom získať prístup k:
- Súborom v zložkách Downloads, Pictures a Desktop
- Súborom využívaným Apple Intelligence, ako sú Photos.sqlite a photos.db
- Citlivým údajom, vrátane:
- GPS súradníc a časových údajov
- Rozpoznania osôb a tvárí
- História vyhľadávania v aplikáciách
- Preferencií a klasifikácií fotografií
Najvážnejším aspektom je, že Apple Intelligence tieto dáta zdieľa naprieč zariadeniami v rovnakom iCloud účte, čo znamená, že útok na jeden Mac mohol odhaliť údaje z používateľovho iPhonu či iPadu.
Ako fungoval útok?
Útočník mohol:
- Upraviť .mdimporter plugin tak, aby cielil na konkrétne typy súborov.
- Umiestniť ho do zložky ~/Library/Spotlight.
- Spustiť nástroj mdimport na vybrané adresáre.
- Získať obsah súborov cez systémové logy, bez TCC oprávnení.
Výskumníci z Microsoftu vytvorili proof-of-concept nástroj Sploitlight, ktorý celý proces automatizuje.
Riešenie: Apple vydal opravu v marci 2025
Zraniteľnosť bola nahlásená spoločnosti Apple v rámci programu Coordinated Vulnerability Disclosure (CVD). Apple následne vydal opravu označenú ako CVE-2025-31199, ktorá bola súčasťou bezpečnostnej aktualizácie pre macOS Sequoia z 31. marca 2025. Používateľom sa dôrazne odporúča nainštalovať túto aktualizáciu.
Microsoft Defender: Nové detekčné mechanizmy
V reakcii na zraniteľnosť Microsoft rozšíril detekčné schopnosti riešenia Defender for Endpoint o:
- Monitorovanie .mdimporter balíkov
- Sledovanie podozrivého indexovania citlivých adresárov
- Detekciu anomálnych aktivít Spotlightu
Pozor na chyby
Zraniteľnosť Sploitlight pripomína, že ani systém ako TCC nie je dokonalý a že systémové komponenty s vysokými právami môžu byť zneužité pri správnej kombinácii techník.
Pri čoraz väčšej komplexnosti systémov a ich prepojení cez iCloud je dôležité sledovať bezpečnostné aktualizácie a vyhýbať sa inštalácii neovereného softvéru.
Microsoft zároveň vyzýva na spoluprácu medzi vývojármi a bezpečnostnými expertmi, ktorá je kľúčová na včasné odhalenie a riešenie podobných hrozieb.
Záver
Apple macOS sa opäť ukázal ako robustný, no nie nepriestrelný. Vďaka spolupráci Microsoftu a Apple bol tentoraz problém rýchlo vyriešený – no zraniteľnosť Sploitlight je varovaním, že aj základné nástroje ako Spotlight môžu byť vstupnou bránou k veľmi citlivým dátam