Zespół Microsoft Threat Intelligence ujawnił lukę w zabezpieczeniach Spotlight w macOS, która mogła umożliwić kradzież prywatnych danych użytkowników.
Exploit nazwano „Sploitlight” – wykorzystywał on wtyczki Spotlight do obejścia systemu TCC (Transparency, Consent and Control).
Jakie dane były zagrożone? Luka mogła ujawnić takie informacje jak:
- dane lokalizacji,
- metadane zdjęć i wideo,
- dane rozpoznawania twarzy z aplikacji Zdjęcia,
- historia wyszukiwań,
- podsumowania e-maili AI,
- preferencje użytkownika.
TCC ma chronić prywatność użytkownika, ale Microsoft wykrył sposób na obejście zabezpieczeń poprzez zmodyfikowane pakiety aplikacji używane przez Spotlight.
Apple naprawiło błąd w aktualizacji macOS 15.4 i iOS 15.4 z 31 marca 2025 r., zanim luka została ujawniona publicznie. Dodatkowo Apple poprawiło zabezpieczenia powiązane z symlinkami i zarządzaniem stanem systemu.
Szczegółowy opis techniczny exploita można znaleźć na stronie Microsoftu.
Jeśli artykuł Microsoft odkrył poważną lukę w macOS Spotlight — nazwano ją „Sploitlight” nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.
