مایکروسافت نقص امنیتی حیاتی اپل را کشف کرد

مایکروسافت از یک نقص امنیتی جدی در macOS خبر داد که می‌توانست اطلاعات حساس کاربران را از سیستم Apple Intelligence سرقت کند.

به گزارش تکراتو و به نقل از androidheadlines، مایکروسافت اخیراً یک آسیب‌پذیری بحرانی را در سیستم عامل macOS شناسایی کرده که به مهاجمان امکان می‌داد بدون مجوز به داده‌های ذخیره‌شده توسط Apple Intelligence دسترسی پیدا کنند.

این نقص امنیتی با نام Sploitlight و با کد CVE-2025-31199 ثبت شده و اپل در نسخه macOS Sequoia 15.4 این مشکل را رفع کرده است.

این آسیب‌پذیری به شکلی طراحی شده بود که می‌توانست مکانیزم‌های محافظتی سیستم عامل macOS را دور بزند. این مکانیزم‌ها با نام TCC شناخته می‌شوند و مسئول محدود کردن دسترسی اپلیکیشن‌ها به اطلاعات شخصی و قابلیت‌های مهم سیستم هستند.

در واقع، TCC به‌گونه‌ای طراحی شده که بدون رضایت صریح کاربر، اپ‌ها نتوانند به داده‌های خصوصی دسترسی پیدا کنند. اما Sploitlight راهی پیدا کرده بود تا از این سد امنیتی عبور کند.

مایکروسافت توضیح داده که این نقص امنیتی از طریق افزونه‌های Spotlight مورد سوءاستفاده قرار می‌گرفت. این افزونه‌ها برای جستجوی فایل‌ها در macOS استفاده می‌شوند و با وجود اینکه در محیطی ایزوله فعالیت می‌کنند، همچنان به اطلاعاتی که بررسی می‌کنند دسترسی دارند.

مایکروسافت کشف کرده که مهاجمان می‌توانستند اطلاعات متادیتای این افزونه‌ها را دستکاری کرده و سیستم را فریب دهند تا در حین فهرست‌برداری، اطلاعات حساس فایل‌ها را ثبت کند. به این ترتیب، اطلاعات مهم بدون نیاز به مجوزهای TCC از سیستم خارج می‌شد.

خطر این نقص زمانی بیشتر می‌شد که بدانیم اطلاعاتی که در معرض سرقت قرار داشت، شامل داده‌های موقعیت مکانی، متادیتای عکس و ویدئو، داده‌های تشخیص چهره، تاریخچه جستجو و حتی تنظیمات کاربر بود.

حتی احتمال دسترسی به اطلاعات دستگاه‌های دیگری که به یک حساب iCloud متصل هستند هم وجود داشت که سطح تهدید را گسترده‌تر می‌کرد.

خبر خوب این است که اپل این نقص را در ماه مارس ۲۰۲۵ و در نسخه 15.4 سیستم عامل macOS Sequoia اصلاح کرده است. در این به‌روزرسانی، سیستم به‌گونه‌ای تنظیم شده تا اطلاعات حساس بهتر محافظت شود.

از سوی دیگر، مایکروسافت هم به‌روزرسانی‌هایی در سیستم Defender for Endpoint ارائه کرده تا بتواند هرگونه فعالیت مشکوک مرتبط با این روش را شناسایی کند.

این کشف بار دیگر نشان داد که حتی پیشرفته‌ترین سیستم‌ها هم می‌توانند دچار نقص امنیتی شوند. به‌روزرسانی به‌موقع نرم‌افزارها، همکاری فعال بین پژوهشگران امنیتی و توسعه‌دهندگان پلتفرم‌ها، و آگاهی کاربران، عوامل حیاتی برای محافظت از داده‌های شخصی در دنیای دیجیتال امروز هستند.