Apple ha corretto una grave falla di sicurezza in macOS, denominata “Sploitlight”, che consentiva agli aggressori di aggirare le impostazioni sulla privacy dell’utente ed estrarre dati sensibili, inclusi i file memorizzati nella cache di Apple Intelligence.
Scoperta dal team Threat Intelligence di Microsoft e tracciata come CVE-2025-31199, la vulnerabilità ha sfruttato il sistema di plug-in Spotlight di macOS per eludere le protezioni di trasparenza, consenso e controllo (TCC). Il TCC dovrebbe impedire l'accesso non autorizzato ai dati dell'utente come posizione, foto, download e contenuti personali generati dai sistemi di intelligenza artificiale di Apple.
Sploitlight ha sfruttato gli importatori Spotlight, che sono piccoli strumenti che indicizzano i file per la ricerca su macOS. Sebbene questi plugin normalmente vengano eseguiti in una sandbox e siano limitati ai file che stanno elaborando, i ricercatori Microsofttrovatoun modo per abusare del processo di indicizzazione per far trapelare dati privati. Creando o modificando un plug-in e inserendolo in una cartella utente, gli aggressori potrebbero scansionare e registrare il contenuto dei file archiviati in posizioni protette da TCC come le cartelle Download, Desktop e Immagini. Non erano necessarie autorizzazioni elevate e il plug-in non doveva essere firmato.
Questa tecnica ha permesso di sottrarre metadati multimediali privati, cronologia di geolocalizzazione, tag di riconoscimento di volti e persone, preferenze dell’utente e persino riepiloghi memorizzati nella cache generati da Apple Intelligence. Ciò che ha peggiorato il problema è la sincronizzazione di iCloud. Un singolo Mac compromesso potrebbe essere utilizzato per raccogliere dati collegati da altri dispositivi Apple collegati allo stesso account iCloud, inclusi iPhone e iPad. Microsoft ha sottolineato che le implicazioni di questa vulnerabilità erano più gravi rispetto ai precedenti bypass del TCC come “powerdir” o “HM-Surf” a causa della natura sensibile dei dati di Apple Intelligence coinvolti.
La buona notizia è che Apple ha risolto il problema nell’aggiornamento macOS Sequoia 15.4, rilasciato il 31 marzo 2025, dopo essere stata avvisata da Microsoft all’inizio dell’anno. Secondo la documentazione sulla sicurezza di Apple, la vulnerabilità Sploitlight è stata risolta attraverso una migliore redazione dei dati. Oltre a questa patch, Apple ha risolto anche altri due problemi di macOS scoperti da Microsoft migliorando la convalida dei collegamenti simbolici e migliorando la gestione dello stato.
Anche se l’exploit Sploitlight non è stato osservato in natura, il potenziale di abuso era serio. Gli utenti sono fortemente invitati ad aggiornare i propri sistemi se non lo hanno già fatto. L'installazione di macOS Sequoia 15.4 impedirà agli aggressori di utilizzare questa tecnica per scansionare file sensibili. Inoltre, gli utenti dovrebbero evitare di installare plug-in Spotlight non familiari o non firmati e dovrebbero monitorare l'attività del sistema per individuare comportamenti sospetti.
IMPARENTATO:L'app Password di Apple presentava un grave difetto di sicurezza: ecco cosa devi sapere