Zraniteľnosť “Sploitlight” v macOS umožňovala krádež dát z Apple Intelligence

Microsoft odhalil zraniteľnosť v macOS, ktorá umožňovala únik citlivých dát z Apple Intelligence. Apple vydal opravu v marci 2025.

Microsoft Threat Intelligence odhalil závažnú zraniteľnosť v operačnom systéme macOS, ktorá umožňovala obísť systém ochrany súkromia TCC (Transparency, Consent and Control) a získať prístup k súborom, ktoré sú za bežných okolností chránené – vrátane zložky Downloads, ale aj dát uložených Apple Intelligence, ako sú geolokačné údaje, fotky, video metadáta či rozpoznávanie osôb.

“Sploitlight”: Zneužitie Spotlight pluginov

Microsoft nazval zraniteľnosť Sploitlight, pretože zneužíva Spotlight pluginy (tzv. .mdimporter balíky), ktoré bežne slúžia na indexáciu súborov pre vyhľadávanie v macOS. 

Aj keď Apple uvalil prísne sandboxové obmedzenia na tieto pluginy, výskumníci dokázali zneužiť ich privilegovaný prístup na exfiltráciu dát, a to bez súhlasu používateľa.

Čo bolo v ohrození?

Zraniteľnosť umožnila útočníkom získať prístup k:

Súborom v zložkách Downloads, Pictures a Desktop

Súborom využívaným Apple Intelligence, ako sú Photos.sqlite a photos.db

Citlivým údajom, vrátane:

GPS súradníc a časových údajov

Rozpoznania osôb a tvárí

História vyhľadávania v aplikáciách

Preferencií a klasifikácií fotografií

Najvážnejším aspektom je, že Apple Intelligence tieto dáta zdieľa naprieč zariadeniami v rovnakom iCloud účte, čo znamená, že útok na jeden Mac mohol odhaliť údaje z používateľovho iPhonu či iPadu.

Ako fungoval útok?

Útočník mohol:

Upraviť .mdimporter plugin tak, aby cielil na konkrétne typy súborov.

Umiestniť ho do zložky ~/Library/Spotlight.

Spustiť nástroj mdimport na vybrané adresáre.

Získať obsah súborov cez systémové logy, bez TCC oprávnení.

Výskumníci z Microsoftu vytvorili proof-of-concept nástroj Sploitlight, ktorý celý proces automatizuje.

Riešenie: Apple vydal opravu v marci 2025

Zraniteľnosť bola nahlásená spoločnosti Apple v rámci programu Coordinated Vulnerability Disclosure (CVD). Apple následne vydal opravu označenú ako CVE-2025-31199, ktorá bola súčasťou bezpečnostnej aktualizácie pre macOS Sequoia z 31. marca 2025. Používateľom sa dôrazne odporúča nainštalovať túto aktualizáciu.

Microsoft Defender: Nové detekčné mechanizmy

V reakcii na zraniteľnosť Microsoft rozšíril detekčné schopnosti riešenia Defender for Endpoint o:

Monitorovanie .mdimporter balíkov

Sledovanie podozrivého indexovania citlivých adresárov

Detekciu anomálnych aktivít Spotlightu

Pozor na chyby

Zraniteľnosť Sploitlight pripomína, že ani systém ako TCC nie je dokonalý a že systémové komponenty s vysokými právami môžu byť zneužité pri správnej kombinácii techník. 

Pri čoraz väčšej komplexnosti systémov a ich prepojení cez iCloud je dôležité sledovať bezpečnostné aktualizácie a vyhýbať sa inštalácii neovereného softvéru.

Microsoft zároveň vyzýva na spoluprácu medzi vývojármi a bezpečnostnými expertmi, ktorá je kľúčová na včasné odhalenie a riešenie podobných hrozieb.

Záver

Apple macOS sa opäť ukázal ako robustný, no nie nepriestrelný. Vďaka spolupráci Microsoftu a Apple bol tentoraz problém rýchlo vyriešený – no zraniteľnosť Sploitlight je varovaním, že aj základné nástroje ako Spotlight môžu byť vstupnou bránou k veľmi citlivým dátam