- V systému macOS 15.4 a částečně i iOS 15.4 byla objevena zranitelnost
- Ta umožňovala hackerům krást data prostřednictvím vyhledávacího enginu Spotlight
- Na chybu upozornila expertní skupina konkurenčního Microsoftu
Potenciálně velmi nebezpečná zranitelnost vyhledávacího enginu Spotlight se objevila v systému macOS. Útočníci ji mohli zneužít k odcizení citlivých dat z napadených počítačů. Pikantní na tom je, že chybu odhalily bezpečnostní systémy konkurenčního Microsoftu, který s Applem bojuje jak na trhu se softwarem, tak i hardwarem.
macOS měl problém
Expertní skupina Microsoft Threat Intelligence objevila zranitelnost systému macOS, která by mohla útočníkům umožnit odcizit soukromých dat ze souborů, které jsou běžně chráněny funkcí Transparency, Consent, and Control (TCC). Týká se to dat ze složky Stažené soubory, metadat, které využívá Apple Intelligence, ale také informace o poloze uživatele, historie vyhledávání prostřednictvím Spotlight nebo citlivých metadat z fotek a videí v aplikaci Fotky.
Nepřehlédněte
Miliony uživatelů iPhonů i MacBooků v ohrožení! Jejich čipy obsahují kritickou bezpečnostní chybu
„Připomínáme, že TCC je technologie navržená tak, aby zabránila aplikacím v přístupu k osobním informacím uživatelů, včetně služeb pro určování polohy, dat z kamery, mikrofonu, bez předchozího souhlasu a vědomí uživatelů. Jediným legitimním způsobem, jak může aplikace získat přístup k těmto službám, je schválení uživatelem prostřednictvím vyskakovacího okna v uživatelském rozhraní nebo udělení přístupu pro jednotlivé aplikace v nastavení operačního systému,“ uvádí Microsoft.
Microsoft spolupracoval s Applem
Podle svých slov nahlásil zranitelnost č. CVE-2025-31199 společnosti Apple, která promptně zareagovala a vydala aktualizaci na konci března 2025. Dlužno podotknout, že zranitelnost se týkala macOS 15.4 Sequoia a okrajově také iOS 15.4, update pak zamířil ke všem potenciálně postiženým uživatelům.
Přestože se neprokázalo, že by přes zranitelnost došlo k napadení nějakého zařízení, je striktně doporučeno nainstalovat si nejnovější aktualizaci operačního systému, pokud používáte zařízení, jež by mohlo být potenciálně ohroženo tímto útokem. V příspěvku na svém blogu pak Microsoft blíže specifikuje, co za zranitelností (přezdívanou „Sploitlight“) stálo a jak mohl případný útok vypadat.
