Uma atualização para o aplicativo Atalhos da Apple corrige brechas de segurança, permitindo ações maliciosas

Além de corrigir o bug de escuta do grupo FaceTime no iPhone, iPad e Mac com a atualização de software iOS 12.1.4 e a atualização suplementar do macOS Mojave 10.14.3, a Apple também resolveu um importante problema de segurança encontrado recentemente no aplicativo Atalhos para iPhone e iPad.

Conforme relatamos na semana passada, o aplicativo sofreu uma grande fiscalização, que permitiu que um invasor crie e distribua um atalho malicioso que colete contatos, endereços, arquivos e outros dados do usuário e envie um arquivo ZIP via iMessage para um invasor em segundo plano.

Embora as notas de versão da App Store que acompanham a atualização de Atalhos 2.1.3 de hoje mencionem apenas correções e melhorias não especificadas, um documento de suporte no site da Apple oferece informações detalhadas sobre o conteúdo de segurança da atualização.

Por meio deste, libero o atalho malicioso POC (https://t.co/xa2KGHGnLL) mencionado por
@twolivesleftand por @EdFromFreelance em seu artigo!
Fyi: a maçã não trata isso como um bug, mas como um comportamento pretendido “… então sim… :) deixe-o fazer seu trabalho.
Fotos / vídeos abaixo (Como @bzamayo apontou.

- Avimanyu Roy (@ AvimanyuRoy3) 31 de janeiro de 2019

O primeiro bug permitiu que um usuário local exibisse informações confidenciais do usuário devido a um problema de análise no tratamento de caminhos de diretório que foram resolvidos com uma melhor validação de caminho..

A outra falha, que contornava as restrições da caixa de areia da Apple, também foi corrigida. O documento de segurança credita Avimanyu Roy por relatar esses problemas.

"Gostaríamos de agradecer a Sem Voigtländer da Fontys Hogeschool ICT por sua assistência", diz o documento.

Atalhos é um download gratuito da App Stores.