漏洞概述

微軟威脅情報部門最新披露的macOS漏洞（編號CVE-2025-31199）允許攻擊者繞過蘋果隱私控制機制，訪問包括Apple Intelligence緩存文件在內的敏感用戶數據。該漏洞被命名為"Sploitlight"，其利用方式是通過濫用Spotlight插件來泄露受保護文件。

技術原理

漏洞核心在于macOS內置搜索工具Spotlight處理"導入器"（importers）插件的方式。這些插件原本用于幫助索引Outlook、Photos等特定應用的內容。微軟研究人員發現：

• 攻擊者可以篡改這些導入器，在未經用戶許可的情況下掃描并泄露"下載"、"圖片"等受TCC（透明化、許可與控制）機制保護的目錄數據
• 通過系統日志分塊記錄文件內容后靜默提取
• 所有基于ARM架構的Mac默認安裝的Apple Intelligence會緩存地理位置數據、照片視頻元數據、人臉識別結果及搜索歷史等敏感信息

攻擊流程

微軟提供的概念驗證展示了攻擊步驟：

• 修改Spotlight插件的元數據
• 將其放置在特定目錄
• 觸發掃描即可訪問敏感文件夾 由于這些插件無需簽名，攻擊者僅需修改文本文件即可實施攻擊，完全繞過系統許可機制。

潛在影響

該漏洞的危害不僅限于單臺設備：

• 通過iCloud同步的元數據和人臉識別信息可能使關聯的iPhone/iPad設備間接暴露風險
• 這是蘋果處理的又一起TCC機制繞過事件，與此前的powerdir、HM-Surf等漏洞相比，Sploitlight利用系統可信組件的特點使其更具隱蔽性

修復建議

蘋果已在2025年3月發布的macOS Sequoia更新中修復該漏洞。微軟感謝蘋果安全團隊通過協調漏洞披露機制的合作，并強烈建議用戶立即安裝更新補丁，特別是已啟用Apple Intelligence功能的Mac用戶。