Pesquisadores descobriram uma vulnerabilidade corrigida recentemente nos sistemas iOS e macOS da Apple que permitia burlar a estrutura de segurança TCC (Transparência, Consentimento e Controle). Esse sistema é responsável por gerenciar as permissões de acesso a dados sensíveis, como fotos, contatos e informações de saúde. A falha, registrada como CVE-2024-44131 e com pontuação CVSS de 5.3, estava no componente FileProvider e foi solucionada nas versões iOS 18, iPadOS 18 e macOS Sequoia 15.

De acordo com os pesquisadores, a falha possibilitava que um aplicativo malicioso interceptasse operações feitas pelo usuário no app Arquivos, como copiar ou mover documentos, e redirecionasse os dados para locais sob o controle do invasor. Essa exploração aproveitava os privilégios elevados do daemon fileproviderd, usado para gerenciar operações de arquivos no iCloud e outros serviços de nuvem, permitindo acesso não autorizado a informações armazenadas. O método descrito envolve a manipulação de links simbólicos (symlinks) durante a movimentação de arquivos. Um symlink era inserido após o início de uma cópia, burlando as verificações de segurança e permitindo que dados fossem exfiltrados para servidores remotos.

A gravidade do ataque dependia dos privilégios do processo-alvo; no entanto, dados protegidos por APIs específicas ou identificadores aleatórios permaneceram inacessíveis. Além dessa falha, a Apple corrigiu outras vulnerabilidades em suas atualizações mais recentes, incluindo problemas no WebKit, que causavam corrupção de memória, e no Safari, que poderia expor endereços IP ao usar o Private Relay. Com as correções implementadas, a empresa reforça sua política de segurança e proteção da privacidade dos usuários.