Appleは、「Sploitlight」と呼ばれるMacOSの主要なセキュリティ欠陥にパッチを当て、攻撃者がユーザーのプライバシー設定をバイパスし、Apple Intelligenceによってキャッシュされたファイルを含む機密データを抽出できるようにしました。
MicrosoftのThreat Intelligenceチームによって発見され、CVE-2025-31199として追跡されたこの脆弱性は、MacOSのSpotlightプラグインシステムを利用して、透明性、同意、および制御(TCC)保護を回避しました。 TCCは、AppleのAIシステムによって生成された場所、写真、ダウンロード、個人コンテンツなどのユーザーデータへの不正アクセスを防止することになっています。
Sploitlightは、MacOS検索のファイルをインデックスする小さなツールであるSpotlight Importersを利用しました。これらのプラグインは通常、サンドボックスで実行され、処理しているファイルに制限されていますが、Microsoftの研究者見つかったインデックスプロセスを悪用してプライベートデータをリークする方法。プラグインをクラフトまたは変更してユーザーフォルダーに配置することにより、攻撃者は、ダウンロード、デスクトップ、写真フォルダーなどのTCC保護された場所に保存されているファイルのコンテンツをスキャンしてログすることができます。上昇する権限は必要ありませんでした。プラグインに署名する必要はありませんでした。
この手法により、プライベートメディアのメタデータ、地理的歴史、顔と人の認識タグ、ユーザーの好み、さらにはApple Intelligenceによって生成されたキャッシュされた要約を吸い上げることができました。問題を悪化させたのは、iCloud同期です。単一の侵害されたMacを使用して、iPhoneやiPadを含む同じiCloudアカウントに結び付けられた他のAppleデバイスからリンクデータを収集できます。 Microsoftは、この脆弱性の意味は、関連するApple Intelligenceデータの敏感な性質のために、「PowerDir」や「HM-Surf」などの以前のTCCバイパスよりも深刻であると強調しました。
良いニュースは、Appleが年の初めにMicrosoftによって警告を受けた後、2025年3月31日にリリースされたMacos Sequoia 15.4アップデートの欠陥に対処したことです。 Appleのセキュリティ文書によると、Sploitlightの脆弱性は、改善されたデータ編集によって修正されました。このパッチに加えて、Appleは、Symlinkの検証を強化し、国家管理を改善することにより、Microsoftが発見した他の2つのMacOSの問題を解決しました。
Sploitlightのエクスプロイトは野生では観察されていませんでしたが、虐待の可能性は深刻でした。ユーザーは、まだシステムを更新していない場合は、システムを更新することを強く求められています。 MacOS Sequoia 15.4をインストールすると、攻撃者がこの手法を使用して機密ファイルをスキャンすることができなくなります。さらに、ユーザーは、なじみのないまたは署名されていないスポットライトプラグインをインストールしないようにする必要があり、疑わしい動作についてシステムアクティビティを監視する必要があります。
お勧めの読み取り:Appleのパスワードアプリには大きなセキュリティの欠陥がありました。