Фахівці Microsoft Threat Intelligence виявили спосіб обійти систему захисту TCC (Transparency, Consent, and Control) в операційній системі macOS. Уразливість отримала назву Sploitlight і дозволяла отримати доступ до конфіденційних даних без відома користувача.
Проблема стосувалася геолокації, історії пошуку, метаданих фото та відео, налаштувань, даних медіатеки з розпізнаванням облич та AI-саммарі листів.
Як з’ясували дослідники, плагіни Spotlight можна було змінити так, щоб вони передавали інформацію за межі «пісочниці» — захищеного середовища macOS. Зловмисник міг підмінити файли, і Spotlight кешував та розсилав чутливі дані, не помічаючи підміни.
Microsoft вчасно повідомила про загрозу, і Apple виправила помилку в оновленнях macOS 15.4 та iOS 15.4, випущених 31 березня 2025 року.
Також були усунуті ще дві уразливості, знайдені Microsoft. Компанія підкреслює, що жодного підтвердженого випадку використання цієї лазівки не зафіксовано.
Запис Microsoft викрила лазівку в системі безпеки macOS — вона існувала роками спершу з'явиться на ITsider.com.ua.
