Apple поблагодарила эксперта Positive Technologies за обнаружение уязвимости в приложении Shortcuts

Эксперт PT SWARM Егор Филатов обнаружил критически опасную уязвимость в приложении Shortcuts («Быстрые команды»). Это предустановленная программа в операционной системе macOS, которая ускоряет управление устройством, автоматизируя повторяющиеся пользовательские действия. При успешной эксплуатации дефект безопасности мог бы позволить злоумышленнику получить полный контроль над компьютером, в частности читать, редактировать и удалять любую информацию. Если захваченный ноутбук был бы подключен к корпоративной сети, атакующий смог бы проникнуть во внутреннюю инфраструктуру компании.

Уязвимость BDU:2025-02497 получила оценку 9,8 балла из 10 по шкале CVSS 3.0 и содержалась в версии Shortcuts 7.0 (2607.1.3). Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Пользователям необходимо установить macOS Sequoia 15.5 и выше. Если обновить ОС не удается, эксперт Positive Technologies рекомендует перед запуском внимательно проверять загруженные быстрые команды или вовсе отказаться от их использования.

Shortcuts впервые появились в программном обеспечении macOS Monterey еще в 2021 году и на протяжении четырех лет сохраняются в версиях Ventura, Sonoma и Sequoia. Приложение позволяет создавать быстрые команды для выполнения компьютером таких функций, как запуск таймера, воспроизведение музыки или преобразование текста в аудио. Пользователям также доступны макросы¹ с уже готовыми командами, чем и могли бы воспользоваться злоумышленники, загрузив в библиотеку зараженные шаблоны. Чтобы атакующий смог воспользоваться недостатком безопасности, жертве было бы достаточно по неосторожности запустить на своем устройстве макрос, созданный нарушителем.

Среди возможных последствий успешных атак эксперт выделил: 

• кражу конфиденциальных данных или удаление ценной информации;
• запуск вредоносного ПО;
• создание бэкдоров² с целью сохранить доступ к системе даже после исправления дефекта безопасности;
• установку шифровальщиков³;
• нарушение бизнес-процессов организации, если при проникновении было задействовано корпоративное устройство.

Эксперты Positive Technologies исследуют продукты Apple в течение последних десяти лет. В 2018 году Максим Горячий и Марк Ермолов во время поиска уязвимостей в подсистеме Intel Management Engine выявили дефект безопасности CVE-2018-4251 в прошивке персональных компьютеров, в частности производства Apple. В 2017 году Тимур Юнусов предупредил комьюнити о нескольких обнаруженных им уязвимостях в платежной системе Apple Pay. Пробелы в защите позволяли злоумышленникам скомпрометировать банковские карты пользователей и проводить неавторизованные платежи на внешних ресурсах. Ранее еще один исследователь из Positive Technologies нашел и помог устранить опасную уязвимость на сайте apple.com, которая могла бы дать злоумышленнику возможность провести атаку «Обход каталога» и получить доступ к закрытым данным жертв.

Помимо Shortcuts для macOS, существует версия программы для iOS, которая устанавливается на мобильные устройства. Чтобы злоумышленники не могли проникнуть в корпоративную сеть через уязвимые мобильные приложения, компаниям важно защищать их от реверс-инжиниринга. Помочь в этом может сервис PT MAZE, который превращает приложение в непроходимый лабиринт и делает атаку для злоумышленников слишком ресурсозатратной.

1. Макрос — это программный алгоритм действий, записанный пользователем.
2. Тип вредоносной программы, позволяющей получить несанкционированный доступ к данным или обеспечить удаленное управление ОС. Как правило, устанавливается злоумышленником на взломанном компьютере для повторного подключения к системам.
3. Тип вредоносных программ, которые блокируют доступ пользователя к компьютерным системам и шифруют файлы, предоставляя злоумышленнику контроль над любой персональной информацией, хранящейся на устройствах. Затем преступник угрожает жертве оставить заблокированным доступ к файлам либо компьютеру или раскрыть конфиденциальные данные, если человек не заплатит выкуп.