iOS 17.3 已修复，苹果“快捷指令”高危漏洞被披露：可发送敏感数据

图片地址：https://img.ithome.com/newsuploadfiles/2024/2/dced5c3d-6681-4b08-9793-45a44e2ff96a.jpg?x-bce-process=image/format,f_auto

IT之家 2 月 23 日消息，网络安全公司 Bitdefender 近日发布博文，详细披露了 iOS “快捷指令”应用中的高危漏洞，苹果已经于 iOS 17.3 更新中修复了该漏洞。该漏洞追踪编号为 CVE-2024-23204，CVSS 评分定为 7.5 分（满分为 10 分），主要利用“Expand URL”功能绕过苹果的 TCC 权限系统，将照片、联系人、文件或剪贴板数据等 base64 编码数据传送到网站。攻击者端的 Flask 程序会捕获并存储传输的数据，以便进行潜在利用。TCC 的英文是 Transparency, Consent, and Control，本质上说不是“权限”，而是在原来的传统操作系统的用户权限之外，为了保护特定涉及用户个人隐私的信息，提供的访问控制的一层安全机制，也就是熟知的隐私与安全性的部分。用户如果点击包含恶意内容的快捷指令，就可能将自己的敏感信息传送给攻击者。用户更新 iOS 17.3、i