网络安全领域的先锋 Bitdefender 近日通过深度分析,公开揭露了 iOS “快捷指令”应用中一个严重威胁用户数据安全的漏洞,该漏洞被正式编号为 CVE-2024-23204,并获得了 CVSS 评分 7.5 分的高危评级。这一发现迅速引起了广泛关注,而苹果公司已迅速响应,在最新的 iOS 17.3 更新中全面修复了此漏洞。
CVE-2024-23204 漏洞的核心在于“Expand URL”功能的被滥用。攻击者能够利用这一功能,巧妙地绕过苹果强大的 TCC(透明度、同意和控制)权限系统,悄无声息地将用户的敏感信息——包括照片、联系人列表、个人文件乃至剪贴板内容——以 base64 编码的形式传送到恶意网站。更为严重的是,攻击者端部署的 Flask 程序会自动捕获并存储这些传输的数据,为后续的非法利用铺平了道路。
面对这一严峻挑战,苹果迅速采取行动,在 iOS 17.3 更新中实施了针对性的修复措施,有效阻断了漏洞的利用路径,保障了广大用户的数据安全。此次更新不仅体现了苹果对用户隐私保护的坚定承诺,也再次彰显了其在面对安全威胁时的迅速响应能力。
TCC是苹果在传统操作系统用户权限基础上,额外添加的一层保护用户个人隐私的访问控制机制,也就是我们常说的隐私与安全性部分。这个机制的本意是让用户对自己的隐私信息有更多控制权,但没想到却被这个漏洞给钻了空子。
如果用户不小心点击了包含恶意内容的快捷指令,那么自己的照片、联系人、文件等敏感信息就可能会被攻击者悄悄获取。
为了保护自己的隐私安全,用户们赶紧检查并更新自己的系统吧!只要系统保持最新状态,就能有效免疫这种攻击伤害啦。
👉安装说明:
- 💡如您是第一次使用快捷指令,请务必首先开启「私人共享/允许不受信任的快捷指令」设置。
- 如无特殊说明,本站快捷指令均测试支持iPhone和iPad,苹果iOS13+系统使用。
- 如无法使用或不兼容,请更新iOS/iPadOS系统到最新版本,或到苹果App Store安装最新版的「快捷指令」App。
- 使用iPhone/iPad设备的Safari浏览器中访问「www.wijiejing.com」,打开所需快捷指令介绍页面。
- 点击「获取快捷指令」Safari浏览器会跳转到至「快捷指令」app完成快捷指令的添加。
爱捷径作为一个分享和交流快捷指令平台。收录的快捷指令来自用户投稿和互联网收集。所有捷径均会在注释标明作者信息,欢迎捷径作者在爱捷径分享您的快捷指令。
本站捷径仅用于个人技术学习和交流,未经原创作者允许,禁止用于任何商业项目和演绎行为。如爱捷径侵犯了您的权益,烦请留言或通过邮件告知!