Специалист Positive Technologies Егор Филатов нашел критически опасную уязвимость в приложении Shortcuts («Быстрые команды»). Это предустановленная программа в операционной системе macOS, которая ускоряет управление устройством, автоматизируя повторяющиеся пользовательские действия.
Эксперт отмечает, что данная брешь в безопасности может позволить киберпреступнику получить полный контроль над компьютером, в частности читать, редактировать и удалять любую информацию. Более того, если захваченный ноутбук подключен к корпоративной сети, атакующий может проникнуть во внутреннюю инфраструктуру компании.
Уязвимость BDU:2025-02497 получила оценку 9,8 балла из 10 по шкале CVSS 3.0 и содержалась в версии Shortcuts 7.0 (2607.1.3). Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление ПО. Пользователям необходимо установить macOS Sequoia 15.5 и выше.
Ранее исследователи из компании Cybernews обнаружили масштабную утечку данных, в результате которой в открытый доступ попали около 16 млрд личных данных, включая пароли и логины от аккаунтов в различных сервисах. Некоторые считают, что это самая крупная утечка данных за всю историю человечества. Эксперты полагают, что эта база данных собиралась с помощью нескольких программ-инфостилеров.
Shortcuts впервые появились в программном обеспечении macOS Monterey еще в 2021 году и на протяжении четырех лет сохраняются в версиях Ventura, Sonoma и Sequoia. Приложение позволяет создавать быстрые команды для выполнения компьютером таких функций, как запуск таймера, воспроизведение музыки или преобразование текста в аудио. Пользователям также доступны макросы с уже готовыми командами, чем и могли бы воспользоваться злоумышленники, загрузив в библиотеку зараженные шаблоны.
«При успешной эксплуатации уязвимости в приложении Shortcuts злоумышленник гипотетически мог бы атаковать любого невнимательного пользователя, — сказал Егор Филатов, младший специалист группы исследования безопасности мобильных приложений, Positive Technologies. — До исправления ошибка позволяла атакующему обойти механизмы безопасности macOS и выполнить произвольный код в операционной системе жертвы».
Среди возможных последствий успешных атак эксперт выделил кражу конфиденциальных данных или удаление ценной информации; запуск вредоносного ПО; создание бэкдоров с целью сохранить доступ к системе даже после исправления дефекта безопасности; установку шифровальщиков; нарушение бизнес-процессов организации, если при проникновении было задействовано корпоративное устройство.
Эксперты Positive Technologies исследуют продукты Apple в течение последних десяти лет. В 2018 году Максим Горячий и Марк Ермолов во время поиска уязвимостей в подсистеме Intel Management Engine выявили дефект безопасности CVE-2018-4251 в прошивке персональных компьютеров, в частности производства Apple. В 2017 году Тимур Юнусов предупредил комьюнити о нескольких обнаруженных им уязвимостях в платежной системе Apple Pay, что могло дать возможность злоумышленникам проводить неавторизованные платежи.
Помимо Shortcuts для macOS, существует версия программы для iOS, которая устанавливается на мобильные устройства. Чтобы злоумышленники не могли проникнуть в корпоративную сеть через уязвимые мобильные приложения, компаниям важно защищать их от реверс-инжиниринга. Помочь в этом может сервис PT MAZE, который превращает приложение в непроходимый лабиринт и делает атаку для злоумышленников слишком ресурсозатратной.