Een update voor de app Snelkoppelingen van Apple corrigeert beveiligingslekken waardoor kwaadaardige acties mogelijk zijn

Afgezien van het oplossen van de groep FaceTime afluisterfout op iPhone, iPad en Mac met de iOS 12.1.4 software-update en de macOS Mojave 10.14.3 aanvullende update, heeft Apple ook een belangrijk beveiligingsprobleem opgelost dat recent is gevonden in de Shortcuts-app voor iPhone en iPad.

Zoals we vorige week meldden, werd de app geplaagd door een groot toezicht waardoor een aanvaller een kwaadaardige snelkoppeling kon maken en verspreiden die contacten, adressen, bestanden en andere gebruikersgegevens zou verzamelen en een zipbestand via iMessage naar een aanvaller op de achtergrond zou sturen.

Hoewel in de release-opmerkingen van de App Store bij de update van Shortcuts 2.1.3 van vandaag alleen niet-gespecificeerde bugfixes en verbeteringen worden genoemd, biedt een ondersteuningsdocument op de website van Apple gedetailleerde informatie over de beveiligingsinhoud van de update.

Hierbij geef ik de kwaadaardige sneltoets POC (https://t.co/xa2KGHGnLL) vrij die werd genoemd door
@twolivesleftand door @EdFromFreelance in zijn artikel!
Ter info: Apple behandelt dit niet als een bug maar als bedoeld gedrag “… dus ja… :) laat het zijn werk doen.
Foto's / vids hieronder (zoals @bzamayo wees).

- Avimanyu Roy (@ AvimanyuRoy3) 31 januari 2019

De eerste bug stelde een lokale gebruiker in staat om gevoelige gebruikersinformatie te bekijken vanwege een parsingprobleem bij de behandeling van directorypaden dat werd aangepakt met verbeterde padvalidatie.

De andere fout, die Apple's sandbox-beperkingen omzeilde, werd ook opgelost. Het beveiligingsdocument vermeldt Avimanyu Roy voor het melden van deze problemen.

"We willen graag Sem Voigtländer van Fontys Hogeschool ICT erkennen voor hun hulp", luidt het document.

Shortcuts is een gratis download van App Stores.