| Bitdefender warnt vor einer Schwachstelle in Apple Shortcuts. Betroffen sind macOS Sonoma 14.3, iOS 17.3 und iPadOS 17.3 und ältere Versionen. | Bitdefender Labs warns of a vulnerability in Apple Shortcuts. The affected versions are MacOS Sonoma 14.3, iOS 17.3 and iPadOS 17.3 and older. |
|---|---|
| Die Schwachstelle in den Apple Kurzbefehlen Shortcuts (CVE-2024-23204) zeigt laut Bitdefender Labs, wie wichtig es ist, ständig auf Sicherheit zu achten. Apples Shortcuts“-Anwendung, die zur Verbesserung der Benutzerautomation entwickelt wurde, kann unbeabsichtigt zu einem potenziellen Vektor für Datenschutzverletzungen werden. Diese Analyse soll Nutzern, Entwicklern und Sicherheitsexperten einen Einblick in die Art der Schwachstelle, ihre möglichen Auswirkungen und empfohlene Abhilfemaßnahmen geben. Auf einen Blick: Bitdefender Labs hat eine Schwachstelle in Apple Shortcuts entdeckt, die es einem potenziellen Angreifer ermöglicht, durch bestimmte Aktionen auf sensible Daten zuzugreifen, ohne dass der Benutzer dazu aufgefordert wird; Die Schwachstelle wird mit 7,5 von 10 Punkten bewertet und betrifft Mac OS- und iOS-Geräte mit Versionen vor macOS Sonoma 14.3 bzw. Versionen vor iOS 17.3 und iPadOS 17.3. Die Schwachstelle wurde verantwortungsbewusst gemeldet und ist nun behoben. Für betroffene Nutzerinnen und Nutzer wurden Software-Updates bereitgestellt. Was ist Apple Shortcuts? Apple Shortcuts ist eine leistungsstarke Automatisierungsanwendung für macOS- und iOS-Geräte, mit der Benutzer personalisierte Arbeitsabläufe erstellen können, um Aufgaben zu rationalisieren und die Produktivität zu steigern. Mit einer intuitiven Benutzeroberfläche ermöglicht Shortcuts die Automatisierung einer Vielzahl von Aktionen, von einfachen Aufgaben wie dem Senden von Nachrichten bis hin zu komplexen Vorgängen, die mehrere Anwendungen umfassen. Mithilfe eines visuellen Programmieransatzes können Benutzer verschiedene vorgefertigte und benutzerdefinierte Aktionen kombinieren, um komplexe Sequenzen zu erstellen, die auf ihre Bedürfnisse zugeschnitten sind. Was kann Shortcuts? Apple Shortcuts dienen einer Vielzahl von Zwecken und ermöglichen es Benutzern, Aufgaben auf macOS- und iOS-Geräten zu rationalisieren. Sie ermöglichen die Automatisierung verschiedener Aktionen, von schnellen App-Aufgaben und der Gerätesteuerung bis hin zur Medienverwaltung, Nachrichtenübermittlung und standortbezogenen Aktionen. Benutzer können Workflows für Dateiverwaltung, Gesundheits- und Fitness-Tracking, Web-Automatisierung, Bildung und sogar Smart-Home-Integration erstellen. Shortcuts bieten eine flexible und anpassbare Möglichkeit, die Produktivität zu steigern und Routineaufgaben schneller und effizienter zu erledigen. Von der Automatisierung alltäglicher Aufgaben bis hin zur Erleichterung spezifischer Gerätefunktionen erfüllen Shortcuts eine Vielzahl von Benutzerpräferenzen und bieten eine nahtlose und personalisierte Erfahrung auf Apple Geräten. Die Flexibilität und Anpassbarkeit von Shortcuts machen es zu einem vielseitigen Werkzeug, das eine große Bandbreite von Benutzerpräferenzen und -bedürfnissen abdeckt und die Gesamteffizienz und das Benutzererlebnis auf Apple-Geräten verbessert. Darüber hinaus können sie exportiert und mit anderen Benutzern geteilt werden, was in der Community üblich ist. Dieser Freigabemechanismus erweitert die potenzielle Reichweite der Sicherheitsanfälligkeit, da Benutzer sie unwissentlich importieren, die CVE-2024-23204 ausnutzen könnten. Da Shortcuts eine weit verbreitete Funktion zur effizienten Verwaltung von Aufgaben sind, gibt die Schwachstelle Anlass zur Sorge, dass sich bösartige Shortcuts unbeabsichtigt über verschiedene Plattformen zur gemeinsamen Nutzung verbreiten. Im Fall von CVE-2024-23204 war es möglich, eine Shortcut-Datei zu erstellen, mit der die TCC umgangen werden konnte. TCC, oder Transparency, Consent, and Control, ist ein Sicherheitsrahmen in Apples macOS und iOS, der den Zugriff von Anwendungen auf sensible Benutzerdaten und Systemressourcen regelt. TCC stellt sicher, dass Anwendungen explizit die Erlaubnis des Benutzers einholen, bevor sie auf bestimmte Daten oder Funktionen zugreifen, und erhöht so die Privatsphäre und Sicherheit der Benutzer. Typischerweise wird com.apple.WorkflowKit.BackgroundShortcutRunner mit der Ausführung von Shortcuts im Hintergrund auf Apple-Geräten assoziiert. TCC-Eingabeaufforderungen (Transparency, Consent, and Control) werden angezeigt, wenn eine Anwendung oder ein Prozess versucht, auf sensible Benutzerdaten oder Systemressourcen zuzugreifen. Abhilfe Um sich vor dieser Sicherheitslücke zu schützen, wird Benutzern dringend empfohlen: Aktualisieren Sie Ihre macOS-, ipadOS- und watchOS-Geräte auf die neuesten Versionen. Vorsicht beim Ausführen von Verknüpfungen aus nicht vertrauenswürdigen Quellen. Regelmäßig nach Sicherheitsupdates und Patches von Apple zu suchen. Hinweis von Apple: Apple hat diesem Problem die Nummer CVE-2024-23204 zugewiesen. CVEs sind eindeutige Kennungen, die zur eindeutigen Identifizierung von Sicherheitslücken verwendet werden. Im Folgenden werden die Auswirkungen und die Beschreibung des Problems beschrieben: Auswirkung: Ein Link kann sensible Daten für bestimmte Aktionen verwenden, ohne dass der Benutzer dazu aufgefordert wird. Beschreibung: Das Problem wurde durch zusätzliche Berechtigungsprüfungen behoben. https://support.apple.com/HT214060 https://support.apple.com/HT214059 https://support.apple.com/HT214061 | CVE-2024-23204 sheds light on the critical importance of continuous security vigilance. Apple’s Shortcuts application, designed to enhance user automation, can inadvertently become a potential vector for privacy breaches. This analysis aims to provide users, developers, and security professionals with insights into the nature of the vulnerability, its potential impact, and recommended mitigation measures. At a glance: What can these Shortcuts do? Apple Shortcuts serves a multitude of purposes, enabling users to streamline tasks on macOS and iOS devices. It allows for the automation of various actions, from quick app tasks and device control to media management, messaging, and location-based actions. Users can create workflows for file management, health and fitness tracking, web automation, education, and even smart home integration. Shortcuts offer a flexible and customizable way to enhance productivity, making routine tasks quicker and more efficient. Whether it’s automating daily chores or facilitating specific device functionalities, Shortcuts cater to a diverse range of user preferences, providing a seamless and personalized experience on Apple devices. The flexibility and customization offered by Shortcuts make it a versatile tool that caters to a wide range of user preferences and needs, enhancing the overall efficiency and user experience on Apple devices. Furthermore, Shortcuts can be exported and shared among users, a common practice in the Shortcuts community. This sharing mechanism extends the potential reach of the vulnerability, as users unknowingly import shortcuts that might exploit CVE-2024-23204. With Shortcuts being a widely used feature for efficient task management, the vulnerability raises concerns about the inadvertent dissemination of malicious shortcuts through diverse sharing platforms. For CVE-2024-23204 it was possible to craft a Shortcuts file that would be able to bypass the TCC. TCC, or Transparency, Consent, and Control, is a security framework in Apple’s macOS and iOS that governs access to sensitive user data and system resources by applications. TCC ensures that apps explicitly request permission from the user before accessing certain data or functionalities, enhancing user privacy and security. Typically, the com.apple.WorkflowKit.BackgroundShortcutRunner is associated with executing Shortcuts in the background on Apple devices. TCC (Transparency, Consent, and Control) prompts are designed to appear when an app or a process attempts to access sensitive user data or system resources. Mitigation Update their macOS, ipadOS and watchOS devices to the latest versions. Apple has assigned CVE-2024-23204 to this issue. CVEs are unique IDs used to uniquely identify vulnerabilites. The following describes the impact and description of this issue: Impact: A shortcut may be able to use sensitive data with certain actions without prompting the user Description: The issue was addressed with additional permissions checks. https://support.apple.com/HT214059 https://support.apple.com/HT214061 |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de