CVE-2024-23204 Apple のショートカットの脆弱性
セキュリティ研究者らは、Apple のショートカット アプリケーションに存在する重大なセキュリティ上の欠陥に関する詳細を明らかにし、重大度の高いリスクを引き起こしています。この欠陥により、ユーザーの同意を得ることなく、デバイス上の機密情報にアクセスするショートカットが可能になる可能性があります。この脆弱性は CVE-2024-23204 として識別され、CVSS スコアは 10 点中 7.5 です。Apple は、2024 年 1 月 22 日に iOS 17.3、iPadOS 17.3、macOS Sonoma 14.3 のリリースを通じてこの特定の脆弱性に対処しました。そしてwatchOS 10.3。
CVE-2024-23204 では、ユーザーの承認を必要とせずに、ショートカットが特定のアクションで機密データを利用する可能性があります。 Apple は、前述のソフトウェア アップデートに「追加のアクセス許可チェック」を実装することでこの問題が解決されたことを確認しました。
目次
Apple ショートカット アプリケーションの詳細
Apple ショートカットは、ユーザーが macOS と iOS デバイス間でタスクを簡単に効率化できるようにするさまざまな目的に役立ちます。このツールは、アプリのクイック タスク、デバイス制御、メディア管理、メッセージング、位置情報ベースのアクティビティなど、さまざまなアクションの自動化を容易にします。ユーザーは、ファイル管理、健康とフィットネスの追跡、Web 自動化、教育目的、さらにはスマート ホーム デバイスとのシームレスな統合に合わせて調整されたワークフローを作成できます。
ショートカットのバグを報告した情報セキュリティの研究者は、このバグが武器化されて、透明性、同意、および制御 (TCC) ポリシーを回避できる悪意のあるショートカットを作成する可能性があることを確認しました。 TCC は、最初に適切なアクセス許可を要求せずに、ユーザー データを不正アクセスから保護するように設計された Apple セキュリティ フレームワークです。
CVE-2024-23204 データの漏洩を許可する
CVE-2024-23204 として特定されたセキュリティ脆弱性は、「URL の展開」と呼ばれる特定のショートカット アクションに起因します。このアクションは、t.co や bit.ly などのサービスを通じて短縮された URL を展開してクリーンアップし、UTM 追跡パラメータを排除するように設計されています。この機能を悪用すると、Base64 でエンコードされたデータを写真から悪意のある Web サイトに送信できます。
この手法では、ショートカット内の機密データ (写真、連絡先、ファイル、クリップボード データなど) を選択し、インポートし、base64 エンコード オプションを使用して変換し、侵害されたサーバーに転送します。盗まれたデータはその後、Flask アプリケーションを通じて攻撃者側でイメージとしてキャプチャおよび保存され、後続の悪用の可能性を準備します。
ショートカットはエクスポートしてユーザー間で共有できるため、ショートカット コミュニティでは一般的に行われており、この共有メカニズムにより脆弱性の潜在的な範囲が拡大します。ユーザーは CVE-2024-23204 を悪用するショートカットを知らずにインポートする可能性があり、悪用のリスクが高まります。
CVE-2024-23204 などの脆弱性の影響を軽減するための対策
特定された脆弱性に対する保護を強化するために、ユーザーは次の措置を講じることを強くお勧めします。
オペレーティング システムの更新: macOS、iPadOS、watchOS デバイスが最新のソフトウェア バージョンを実行していることを確認します。オペレーティング システムには潜在的な脆弱性に対処するパッチやセキュリティ強化機能が含まれていることが多いため、オペレーティング システムを定期的に更新することが重要です。
ショートカットには注意する: ショートカット、特に信頼できないソースから取得したショートカットを実行するときは注意してください。ユーザーは、デバイスをセキュリティ上の脅威に誤ってさらすリスクを最小限に抑えるために、ショートカットを実行する前にその作成元と内容を精査する必要があります。
アップデートを定期的に確認する: Apple が提供するセキュリティ アップデートやパッチを定期的に確認して、常に警戒してください。最新のセキュリティ リリースを使用してデバイスを最新の状態に維持することは、潜在的なエクスプロイトや脆弱性に対する堅牢な防御を維持するために不可欠です。
これらの推奨プラクティスを遵守することで、ユーザーはデバイスのセキュリティ体制を大幅に強化し、特定された脆弱性の被害に遭う可能性を減らすことができます。