Microsoftによると、macOSの脆弱性により、攻撃者がAppleのTransparency, Consent, and Control(TCC)保護をバイパスして機密情報へアクセスできてしまう可能性がありました。
CVE-2025-31199として追跡されているこの脆弱性は、ログ記録の問題として説明されており、2025年3月にmacOS Sequoia 15.4、iOS 18.4、iPadOS 18.4、visionOS 2.4のリリースで修正されました。
「アプリが機密性の高いユーザーデータにアクセスできる可能性があります。ログ記録の問題は、データの編集を改善することで対応されました」とAppleのアドバイザリは説明しています。
このセキュリティ欠陥を報告したMicrosoftは、Sploitlightと名付けた概念実証(PoC)エクスプロイトを作成し、インポーターと呼ばれるSpotlightプラグインを使って、機密性の高いユーザー情報やファイル内容を漏洩させる方法を実証しました。
SpotlightはmacOSに標準搭載されているアプリケーションで、デバイス内のコンテンツを素早く検索できるようにインデックス化します。このアプリケーションは、さらにインデックス化を進めるためにインポーターに依存しており、ローカルに保存されたインデックスファイルからデータを取得します。
AppleのTCC技術は、ユーザーの同意なしにアプリケーションがユーザーの個人情報(ダウンロードやピクチャディレクトリ、位置情報サービス、カメラ、マイクなど)へアクセスするのを防ぐことを目的としています。
「アプリケーションがこれらのサービスへアクセスする唯一の正当な方法は、ユーザーインターフェース内のポップアッププロンプトを通じてユーザーが承認するか、オペレーティングシステムの設定でアプリごとにアクセスを許可することです」とMicrosoftは説明しています。
機密ファイルへの特権的なアクセス権を持つSpotlightプラグインには厳しい制限が課されていますが、Microsoftは、これらが明確に定義されたファイルタイプの内容やその他の機密情報を漏洩させるために悪用できることを発見しました。
広告。スクロールして続きをお読みください。
「最新のmacOSシステムでは、Spotlightプラグインはスキャン対象のファイル以外のファイルを読み書きすることすら許可されていません。しかし、攻撃者がファイル内容を漏洩させる複数の方法が存在するため、これだけでは不十分であると結論付けました」とMicrosoftは説明しています。
Microsoftによると、攻撃者がデバイスへアクセスできる場合、Spotlightプラグインのファイルタイプ宣言ファイルを修正し、修正済みバンドルを~/Library/Spotlightディレクトリにコピーし、Spotlightにそれを使用させ、定義されたパス配下のファイルを再帰的にスキャンして漏洩させ、さらにlogユーティリティを使ってファイル内容を読み取る必要があります。
さらに同社は、このセキュリティ欠陥を利用して、Apple Intelligenceがさまざまなディレクトリ(たとえば「ピクチャ」フォルダ。ここではファイルが「Pictures」TCCサービス種別で保護されている)にキャッシュするデータを漏洩させることが可能だと説明しています。
攻撃者はこの脆弱性を悪用して、正確な位置情報データ、写真や動画のメタデータ、顔やその他の認識データ、ユーザーの活動やイベントのコンテキスト、写真アルバムや共有ライブラリ、最近削除された項目のメタデータ、画像分類や物体検出、検索履歴やユーザー設定などを漏洩させることができます。
Microsoftによると、攻撃者は同じiCloudアカウントを共有する他のAppleデバイスのリモート情報も、攻撃者がアクセスできるmacOSシステムから抽出できる可能性があります。
「この脆弱性の影響は、同じiCloudアカウントを利用するデバイス間のリモートリンク機能によってさらに広がり、攻撃者がリンクされたデバイスを通じてユーザーのより多くのリモート情報を特定できるようになります」とMicrosoftは指摘しています。
関連記事: Apple、iOSおよびmacOSプラットフォームの重大なセキュリティ脆弱性を修正
関連記事: Apple、iOSおよびmacOSのパッチで2件のゼロデイを修正
翻訳元: https://www.securityweek.com/sploitlight-macos-vulnerability-leaks-sensitive-information/