近日，蘋果iOS和macOS系統中被曝光一個關鍵的安全漏洞，若被成功利用，可能會繞過透明度、同意和控制（TCC）框架，導致用戶敏感信息被未經授權訪問。漏洞編號CVE-2024-44131，存在于文件提供組件中，蘋果通過在iOS 18、iPadOS 18和macOS Sequoia 15中增強符號鏈接的驗證來修復此問題。

TCC作為蘋果設備上的一項關鍵安全功能，允許用戶對應用程序訪問敏感數據的請求進行授權或拒絕，如GPS位置、聯系人和照片等。

Jamf Threat Labs發現并報告該漏洞，該公司指出，“這種TCC繞過允許未經授權地訪問文件和文件夾、健康數據、麥克風或攝像頭等，而不會通知用戶，這削弱了用戶對iOS設備安全性的信任，并使個人數據面臨風險。”

漏洞允許惡意應用在后臺運行時，攔截用戶在文件應用中復制或移動文件的操作，并將它們重定向到其控制的位置。這種劫持行為利用了fileproviderd的高權限，這是一個處理與iCloud和其他第三方云文件管理器相關的文件操作的守護進程，它移動文件后可以將它們上傳到遠程服務器。

Jamf進一步解釋：“具體來說，當用戶在后臺運行惡意應用可訪問的目錄內使用Files.app移動或復制文件或目錄時，攻擊者可以操縱符號鏈接欺騙文件應用。新的符號鏈接攻擊方法是，首先復制一個正常的文件，為惡意進程復制已開始的可檢測信號。然后在復制過程已經開始后插入一個符號鏈接，有效地繞過符號鏈接檢查。”

因此，攻擊者可以利用這種方法復制、移動甚至刪除路徑“/var/mobile/Library/Mobile Documents/”下的各個文件和目錄，以訪問與第一方和第三方應用相關的iCloud備份數據，并將它們竊取。這個漏洞的嚴重之處在于它完全破壞了TCC框架，并且不會向用戶觸發任何提示。盡管如此，可以訪問的數據類型取決于執行文件操作的系統進程。

Jamf表示：“這些漏洞的嚴重性取決于目標進程的權限，這揭示了對某些數據類型的訪問控制執行存在差距，由于這種競態條件，并非所有數據都可以在不發出警報的情況下提取。例如，由隨機分配的UUID保護的文件夾中的數據，以及通過特定API檢索的數據不受這種類型的攻擊影響。”

與此同時，蘋果發布了軟件更新，以修復包括WebKit中的四個漏洞在內的多個問題，這些漏洞可能導致內存損壞或進程崩潰，以及音頻中的一個邏輯漏洞（CVE-2024-54529），該漏洞可能允許應用程序執行具有內核權限的任意代碼。

iPhone制造商還修復了Safari中的一個漏洞（CVE-2024-44246），該漏洞可能允許網站在啟用私人中繼的設備上將其添加到閱讀列表時獲取原始IP地址。蘋果表示，它通過“改進Safari發起請求的路由”來解決這個問題。

參考來源：https://thehackernews.com/2024/12/researchers-uncover-symlink-exploit.html