Una vulnerabilidad crítica de MacOS permite a los atacantes omitir la transparencia, el consentimiento y el control (TCC) y robar datos de usuario confidenciales, incluidos archivos de directorios protegidos y cachés de inteligencia de Apple.
La vulnerabilidad, denominada “Sploitlight”, explota complementos de atención para acceder a la información normalmente protegida sin el consentimiento del usuario, lo que plantea riesgos de privacidad significativos para los usuarios de MacOS.
Control de llave
1. El defecto “Sploitlight” permite que los atacantes roben datos de macOS confidenciales.
2. Los atacantes podrían acceder a archivos privados a través de dispositivos vinculados a la misma cuenta de iCloud.
3. Apple solucionó el problema (CVE-2025-31199) en marzo de 2025
Mecanismo de explotación del complemento de Spotlight
Microsoft Amenazing Intelligence informa que la vulnerabilidad aprovecha los importadores de destacados: complementos con extensiones .mdimporter que ayudan a indexar el contenido del sistema para la funcionalidad de búsqueda.
Estos complementos funcionan a través de las tareas MDS Daemon y MDWorker, que poseen acceso privilegiado a archivos confidenciales para fines de indexación.
Sin embargo, investigadores descubierto que los atacantes pueden manipular estos complementos para exfiltrar los datos protegidos.
El proceso de ataque implica modificar los archivos info.plist y schema.xml de un complemento para declarar tipos de archivos de destino en formato UTI (identificador de tipo uniforme).
Los atacantes pueden copiar el paquete sin firmar al directorio ~/biblioteca/spotlight y usar comandos como MDIMPORT -R para forzar la atención para cargar el complemento malicioso.
El exploit registra el contenido del archivo en el registro unificado en fragmentos, lo que permite la extracción de datos confidenciales a través de la utilidad de registro.
En particular, la aplicación de llamadas no requiere permisos de TCC ya que la indexación es realizada por la tarea MDWorker, evitando efectivamente el marco de seguridad de Apple.
Fugas del contenido del archivo escaneado a través del registro
La utilidad UtType puede determinar los tipos de archivos incluso sin acceso a TCC, lo que hace que el ataque sea más versátil.
Las implicaciones de la vulnerabilidad se extienden más allá del acceso básico a los archivos, particularmente que afectan los cachés de inteligencia de Apple almacenados en directorios protegidos como imágenes.
Los atacantes pueden extraer información altamente confidencial de bases de datos como fotos.
Exfiltración de derivación TCC
La violación se vuelve más preocupante debido a la vinculación de la cuenta de iCloud, donde los atacantes que acceden a un dispositivo MacOS pueden recopilar información sobre otros dispositivos conectados a la misma cuenta de iCloud. Esto incluye etiquetado facial y metadatos que se propagan entre dispositivos Apple.
Manzana abordó esto La vulnerabilidad, ahora rastreada como CVE-2025-31199, en actualizaciones de seguridad para MacOS Sequoia lanzadas el 31 de marzo de 2025.
Microsoft Defender for Endpoint ha mejorado sus capacidades de detección para identificar instalaciones sospechosas de paquete .mdimporter e indexación anómala de directorios sensibles.
Se recomienda encarecidamente a los usuarios que apliquen las actualizaciones de seguridad de Apple de inmediato para proteger contra esta vulnerabilidad de derivación de TCC, lo que representa una amenaza significativa para la privacidad del usuario y la seguridad de los datos.
Experimenta una detección de phishing más rápida y precisa y una protección mejorada para su negocio con análisis de sandbox en tiempo real-> Prueba cualquiera.
