Detallan la reciente vulnerabilidad de los accesos directos de Apple

Han surgido detalles sobre una falla de seguridad de alta gravedad ahora parcheada en la aplicación Atajos de Apple que podría permitir que un acceso directo acceda a información confidencial en el dispositivo sin el consentimiento de los usuarios.

La vulnerabilidad, rastreada como CVE-2024-23204 (puntuación CVSS: 7.5), fue abordada por Apple el 22 de enero de 2024, con el lanzamiento de iOS 17.3, iPadOS 17.3, macOS Sonoma 14.3 y watchOS 10.3.

"Un acceso directo puede ser capaz de usar datos confidenciales con ciertas acciones sin preguntar al usuario", dijo el fabricante del iPhone en un aviso, afirmando que se solucionó con "comprobaciones de permisos adicionales".

Apple Shortcuts es una aplicación de scripting que permite a los usuarios crear flujos de trabajo personalizados (también conocidos como macros) para ejecutar tareas específicas en sus dispositivos. Viene instalado de forma predeterminada en los sistemas operativos iOS, iPadOS, macOS y watchOS.

El investigador de seguridad de Bitdefender, Jubaer Alnazi Jabin, quien descubrió e informó sobre el error de Atajos, dijo que podría usarse como arma para crear un atajo malicioso de modo que pueda eludir las políticas de Transparencia, Consentimiento y Control (TCC).


TCC es un marco de seguridad de Apple diseñado para proteger los datos de los usuarios del acceso no autorizado sin solicitar los permisos adecuados en primer lugar.

Específicamente, la falla tiene su origen en una acción de acceso directo llamada "Expandir URL", que es capaz de expandir y limpiar las URL que se han acortado utilizando un servicio de acortamiento de URL como No tienes permitido ver los links. Registrarse o Entrar a mi cuenta o No tienes permitido ver los links. Registrarse o Entrar a mi cuenta, al mismo tiempo que elimina los parámetros de seguimiento UTM.

"Al aprovechar esta funcionalidad, se hizo posible transmitir los datos codificados en Base64 de una foto a un sitio web malicioso", explicó Alnazi Jabin.

"El método consiste en seleccionar cualquier dato confidencial (fotos, contactos, archivos y datos del portapapeles) dentro de Atajos, importarlo, convertirlo utilizando la opción de codificación base64 y, en última instancia, reenviarlo al servidor malicioso".

A continuación, los datos exfiltrados se capturan y se guardan como una imagen en el extremo del atacante mediante una aplicación Flask, lo que allana el camino para la explotación posterior.

"Los atajos se pueden exportar y compartir entre los usuarios, una práctica común en la comunidad de atajos", dijo el investigador. "Este mecanismo de intercambio amplía el alcance potencial de la vulnerabilidad, ya que los usuarios, sin saberlo, importan accesos directos que podrían explotar CVE-2024-23204".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta