Microsoft scopre una grave falla in macOS: come proteggersi

Microsoft ha identificato una vulnerabilità nel sistema operativo macOS che consente ai malintenzionati di ottenere accesso a dati privati normalmente protetti dal sistema di Trasparenza, Consenso e Controllo (TCC). Questo quadro è stato progettato da Apple con l'obiettivo di tutelare la privacy degli utenti attraverso una gestione accurata e selettiva dell'accesso alle app a dati sensibili e risorse di sistema. Ricercatori di Microsoft Threat Intelligence, Jonathan Bar Or, Alexia Wilson e Christine Fossaceca, hanno scoperto questa vulnerabilità, registrata come CVE-2025-31199. Il problema è stato risolto da Apple nel marzo scorso attraverso il rilascio dell'aggiornamento macOS Sequoia 15.4. Spotlight, il tool di ricerca integrato nei sistemi macOS, utilizza dei plugin chiamati .mdimporters per indicizzare i file. Questi operano all'interno di processi protetti, ma hanno accesso ai file con privilegi. Il team Microsoft ha notato come, attraverso un plugin personalizzato di Spotlight, gli hacker potessero sfruttare questa caratteristica per eludere le protezioni TCC e leggere file sensibili come quelli presenti nelle cartelle dei download o delle foto.

Sploitlight: un attacco senza permessi TCC

Gli aggressori, modificando i metadati di un plugin non firmato e obbligando Spotlight a caricarlo, potrebbero riuscire a registrare i contenuti di file privati senza necessità di permessi TCC. I ricercatori hanno sviluppato uno strumento di prova, chiamato "Sploitlight", che dimostra tale vulnerabilità. Apple, poi, ha risolto il problema CVE-2025-31199 con l'ultimo aggiornamento del sistema operativo, il macOS 15.4, migliorando la gestione dei plugin e nascondendo meglio i dati sensibili. "La capacità per gli attaccanti di superare ulteriormente le protezioni TCC ed esfiltrare dati privati da directory protette, come la cartella dei download e le cache di Apple Intelligence, è particolarmente preoccupante a causa della natura altamente sensibile delle informazioni che possono essere estratte", ha affermato il team dei ricercatori in un comunicato.

I file come Photos.sqlite e photos.db, conservati nella directory delle immagini, contengono informazioni delicate come localizzazioni GPS, timestamp, dettagli sul dispositivo utilizzato, dati di riconoscimento facciale, cronologia delle attività e dettagli sugli album condivisi. Addirittura, potrebbero accedere a metadati di media eliminati e a etichette generate dall'intelligenza artificiale. La sincronizzazione dei metadati tramite iCloud potrebbe permettere agli aggressori di ottenere informazioni anche da altri dispositivi Apple collegati allo stesso account.

Precedenti casi di vulnerabilità

Questo non è il primo caso di vulnerabilità scoperta da Microsoft nei sistemi operativi Apple. Nel 2024, la società aveva identificato un'altra vulnerabilità, registrata come CVE-2024-44133 e soprannominata 'HM Surf', sempre nel framework TCC di macOS. Lo sfruttamento di tale fuoriuscita consentiva agli attaccanti di bypassare le impostazioni di privacy e accedere ai dati degli utenti. "La vulnerabilità 'HM Surf' rimuove le protezioni di TCC da Safari, consentendo l'accesso ai dati degli utenti, inclusa la cronologia di navigazione, la fotocamera, il microfono e la posizione senza consenso", ha affermato il team di Microsoft. Pertanto, comprendere le implicazioni delle vulnerabilità di bypass di TCC è fondamentale per costruire difese proattive che tutelano i dati degli utenti da accessi non autorizzati.