微软详细披露了一个严重的macOS漏洞,该漏洞可能允许恶意应用绕过系统隐私保护。这个名为”SploitLight”的漏洞利用了Spotlight索引插件数据的方式,从而访问敏感文件和Apple Intelligence元数据。苹果已在今年3月的macOS更新中修复该问题,但旧版本用户仍面临风险。
微软在发现漏洞后立即向苹果发出警报,促使苹果在今年早些时候修复了该问题。微软安全博客指出:
微软威胁情报团队发现了一个macOS漏洞,攻击者可借此窃取通常受”透明化、同意与控制”(TCC)机制保护的文件隐私数据,如下载文件夹中的文件,以及Apple Intelligence使用的缓存数据。
虽然与之前HM-Surf和powerdir等TCC绕过漏洞类似,但我们称之为”Sploitlight”的这个漏洞(因其利用Spotlight插件)影响更为严重,它能够提取并泄露Apple Intelligence缓存的敏感信息,包括精确地理位置数据、照片和视频元数据、人脸和人物识别数据、搜索历史记录和用户偏好设置等。
由于iCloud账户间的远程链接功能,这些风险进一步复杂化和加剧,这意味着攻击者若获得用户macOS设备的访问权限,还可能利用该漏洞获取同一iCloud账户关联的其他设备的远程信息。
在修复补丁发布数月后,微软现在公开其发现的”SploitLight”漏洞利用细节。以下是事件概要:
- 漏洞利用针对macOS的Spotlight搜索及其元数据索引过程
- 恶意应用在用户可写目录中投放特制插件
- Spotlight会索引这些插件,在无需用户交互的情况下触发执行
- 这使得攻击者能够访问受保护区域如下载内容和Safari数据
- 由于TCC执行薄弱,Apple Intelligence缓存元数据也可能被读取
- 漏洞利用通过设计缺陷绕过了”透明化、同意与控制”(TCC)保护机制
微软指出该漏洞已在3月底得到修复。
苹果已针对该漏洞(现标识为CVE-2025-31199)发布修复程序,作为2025年3月31日发布的macOS Sequoia安全更新的一部分。我们感谢苹果安全团队在解决此漏洞过程中的合作,并建议macOS用户尽快安装这些安全更新。
建议用户更新至最新版macOS以确保免受此漏洞影响。微软在研究报告中提供了完整技术细节,包括漏洞利用的实际演示。
