Microsoft a détaillé une faille sérieuse dans macOS qui pourrait permettre à des applications malveillantes de contourner les protections de la vie privée du système. Nommée « SploitLight », cette vulnérabilité exploite la manière dont Spotlight indexe les données des plugins pour accéder à des fichiers sensibles ainsi qu’aux métadonnées d’Apple Intelligence. Bien qu’Apple ait corrigé le problème dans macOS en mars, les utilisateurs de versions plus anciennes pourraient être à risque.
Une découverte alarmante
Lors de la découverte de cette faille, Microsoft a alerté Apple, ce qui a conduit à la mise à jour correctrice dans macOS plus tôt cette année. Selon le blog de sécurité de Microsoft :
« Microsoft Threat Intelligence a découvert une vulnérabilité dans macOS qui pourrait permettre aux attaquants de voler des données privées de fichiers normalement protégés par la Transparence, le Consentement et le Contrôle (TCC), tels que les fichiers dans le dossier Téléchargements, ainsi que des caches utilisés par Apple Intelligence. »
Fonctionnement de l’exploit
Bien que similaire à des contournements TCC précédents tels que HM-Surf et powerdir, l’ampleur de cette vulnérabilité, que nous appelons « SploitLight » en raison de son utilisation des plugins Spotlight, est plus sévère en raison de sa capacité à extraire et divulguer des informations sensibles mises en cache par Apple Intelligence, telles que des données de géolocalisation précises, des métadonnées de photos et vidéos, des données de reconnaissance faciale et personnelle, des historiques de recherche et des préférences utilisateur.
Cette vulnérabilité est aggravée par la capacité de liaison à distance entre les comptes iCloud, signifiant qu’un attaquant ayant accès à un appareil macOS d’un utilisateur pourrait également exploiter cette faille pour déterminer des informations à distance sur d’autres appareils liés au même compte iCloud.
Détails de l’exploit
- L’exploit ciblait la recherche Spotlight de macOS et son processus d’indexation des métadonnées.
- Des applications malveillantes déposaient des plugins spécialement conçus dans des répertoires accessibles à l’utilisateur.
- Spotlight indexait ces plugins, déclenchant leur exécution sans interaction de l’utilisateur.
- Cela permettait l’accès à des emplacements protégés comme les Téléchargements et les données de Safari.
- Les métadonnées du cache d’Apple Intelligence pouvaient également être lues en raison d’une application faible des protections TCC.
- L’exploit contournait les protections de Transparence, Consentement et Contrôle (TCC) en raison d’un défaut de conception.
Recommandations de Microsoft
Microsoft souligne l’importance de la mise à jour apportée par Apple, identifiée sous le code CVE-2025-31199, qui fait partie des mises à jour de sécurité pour macOS Sequoia, diffusées le 31 mars 2025. Les utilisateurs de macOS sont encouragés à appliquer ces mises à jour de sécurité dès que possible pour garantir leur protection face à cette vulnérabilité.
