一位安全研究人員詳細介紹了macOS中的一次舊黑客攻擊,黑客可以完全訪問用戶的iCloud,只需一個日曆邀請就能成功。
2022年,安全研究員Mikko Kenttala在macOS日曆中發現了一個零點擊漏洞,該漏洞可能允許攻擊者在日曆沙箱環境中添加或刪除文件。該漏洞允許攻擊者執行惡意代碼並訪問存儲在受害者設備上的敏感數據,包括iCloud照片。
攻擊開始於發送包含惡意文件附件的日曆邀請。文件名未經過適當的清理,這使得攻擊者能夠執行「目錄遍歷」攻擊,這意味著他們可以操縱文件的路徑並將其放置在意外位置。
該漏洞(CVE-2022-46723)使得攻擊者能夠覆蓋或刪除日曆應用程序的文件系統中的文件。例如,如果攻擊者發送一個名為「filename=../malicious_file.txt」的文件,則該文件將被放置在其目標目錄之外的用戶文件系統中更危險的位置。
這些文件包括具有警報功能的事件,這些事件在系統處理日曆數據時觸發。注入的文件將包含自動啟動.dmg圖像和.url快捷方式等文件的代碼,最終導致遠程代碼執行(RCE)。
最終,攻擊者可以在用戶不知情或不交互的情況下完全控制Mac。
