A Apple corrigiu uma grande falha de segurança no macOS, apelidada de “Sploitlight”, que permitia que invasores ignorassem as configurações de privacidade do usuário e extraíssem dados confidenciais, incluindo arquivos armazenados em cache pela Apple Intelligence.
Descoberta pela equipe de Threat Intelligence da Microsoft e rastreada como CVE-2025-31199, a vulnerabilidade explorou o sistema de plug-ins Spotlight do macOS para escapar das proteções de Transparência, Consentimento e Controle (TCC). O TCC deve impedir o acesso não autorizado aos dados do usuário, como localização, fotos, downloads e conteúdo pessoal gerado pelos sistemas de IA da Apple.
O Sploitlight aproveitou os importadores Spotlight, que são pequenas ferramentas que indexam arquivos para pesquisa no macOS. Embora esses plug-ins normalmente sejam executados em uma sandbox e sejam restritos aos arquivos que estão processando, os pesquisadores da Microsoftencontradouma forma de abusar do processo de indexação para vazar dados privados. Ao criar ou modificar um plug-in e colocá-lo em uma pasta de usuário, os invasores podem verificar e registrar o conteúdo de arquivos armazenados em locais protegidos por TCC, como as pastas Downloads, Área de Trabalho e Imagens. Nenhuma permissão elevada foi necessária e o plugin não precisou ser assinado.
Essa técnica tornou possível desviar metadados de mídia privada, histórico de geolocalização, tags de reconhecimento facial e pessoal, preferências do usuário e até mesmo resumos em cache gerados pela Apple Intelligence. O que piorou o problema foi a sincronização do iCloud. Um único Mac comprometido poderia ser usado para coletar dados vinculados de outros dispositivos Apple vinculados à mesma conta iCloud, incluindo iPhones e iPads. A Microsoft enfatizou que as implicações desta vulnerabilidade eram mais graves do que os desvios anteriores do TCC, como “powerdir” ou “HM-Surf”, devido à natureza sensível dos dados da Apple Intelligence envolvidos.
A boa notícia é que a Apple corrigiu a falha na atualização do macOS Sequoia 15.4, lançada em 31 de março de 2025, após ser alertada pela Microsoft no início do ano. De acordo com a documentação de segurança da Apple, a vulnerabilidade do Sploitlight foi corrigida por meio de uma melhor redação de dados. Junto com esse patch, a Apple também resolveu dois outros problemas do macOS descobertos pela Microsoft, aprimorando a validação de links simbólicos e melhorando o gerenciamento de estado.
Embora a exploração do Sploitlight não tenha sido observada em estado selvagem, o potencial de abuso era sério. Os usuários são fortemente incentivados a atualizar seus sistemas, caso ainda não o tenham feito. A instalação do macOS Sequoia 15.4 impedirá que invasores usem essa técnica para verificar arquivos confidenciais. Além disso, os usuários devem evitar instalar plug-ins Spotlight desconhecidos ou não assinados e monitorar a atividade do sistema em busca de comportamento suspeito.
RELACIONADO:O aplicativo de senhas da Apple tinha uma grande falha de segurança – aqui está o que você precisa saber