Nieuw macOS-lek blootgesteld: 'Sploitlight' kon gevoelige Apple Intelligence-data stelen
Microsoft Threat Intelligence heeft een kritieke kwetsbaarheid in macOS ontdekt, genaamd "Sploitlight", die aanvallers in staat stelde om privédata te stelen van bestanden die normaal worden beschermd door de Transparency, Consent, and Control (TCC)-beveiliging. Dit omvat bestanden in de map Downloads en, nog zorgwekkender, cachedata die wordt gebruikt door Apple Intelligence. Apple heeft inmiddels een oplossing uitgebracht voor deze kwetsbaarheid, geïdentificeerd als CVE-2025-31199.
De kwetsbaarheid is vergelijkbaar met eerdere TCC-bypassmethodes zoals HM-Surf en powerdir, maar de implicaties van Sploitlight zijn veel ernstiger. Door misbruik te maken van Spotlight-plugins, kon dit lek uiterst gevoelige informatie extraheren en lekken die door Apple Intelligence wordt gecachet. Denk hierbij aan precieze geolocatiegegevens, metadata van foto's en video's, gezichts- en persoonsherkenningsdata, zoekgeschiedenis en gebruikersvoorkeuren.
Een extra complicerende factor is de mogelijkheid tot externe koppeling tussen iCloud-accounts. Dit betekent dat een aanvaller met toegang tot een macOS-apparaat van een gebruiker, de kwetsbaarheid ook kon misbruiken om op afstand informatie te verkrijgen van andere apparaten die aan hetzelfde iCloud-account zijn gekoppeld.
Ontdekking en oplossing
Microsoft Threat Intelligence ontdekte de bypass-techniek tijdens proactief onderzoek naar processen met bevoorrechte rechten. De bevindingen werden gedeeld met Apple via Coordinated Vulnerability Disclosure (CVD) via Microsoft Security Vulnerability Research (MSVR). Apple heeft op 31 maart 2025, als onderdeel van beveiligingsupdates voor macOS Sequoia, een oplossing uitgebracht voor deze kwetsbaarheid. Microsoft bedankt het beveiligingsteam van Apple voor hun samenwerking bij het aanpakken van dit lek en moedigt macOS-gebruikers aan om deze beveiligingsupdates zo snel mogelijk toe te passen.
Wat is TCC?
Transparency, Consent, and Control (TCC) is een technologie die is ontworpen om te voorkomen dat applicaties toegang krijgen tot persoonlijke informatie van gebruikers zonder voorafgaande toestemming. Dit omvat diensten zoals locatiediensten, camera, microfoon, de Downloads-map en andere gevoelige gebieden. De enige legitieme manier voor een applicatie om toegang te krijgen tot deze diensten is door middel van goedkeuring van de gebruiker via een pop-up in de gebruikersinterface of door het verlenen van per-app-toegang in de instellingen van het besturingssysteem.
Hoe 'Sploitlight' werkte
Microsoft's onderzoek toont aan hoe, ondanks de strenge beperkingen op Spotlight-plugins om hun bevoorrechte toegang tot gevoelige bestanden te handhaven, deze toch konden worden misbruikt om bestandsinhoud te exfiltreren. De kwetsbaarheid maakt gebruik van de manier waarop deze plugins, in combinatie met besturingssysteemonderdelen zoals de mds-daemon en de mdworker-taak, toegang kregen tot gegevens. Het lek werkte tegen goed gedefinieerde bestandstypen en kon worden misbruikt om waardevolle data te verkrijgen, inclusief informatie die door Apple Intelligence wordt getagd en externe informatie van andere via iCloud gekoppelde apparaten.
De ontdekking van 'Sploitlight' benadrukt het voortdurende belang van waakzaamheid en samenwerking in de cyberbeveiligingsgemeenschap om gebruikers te beschermen tegen steeds geavanceerdere dreigingen.
Meer over Besturingssysteem
Over Witold Kepinski
