Microsoft odkrył poważną lukę bezpieczeństwa powiązaną z funkcją Spotlight w systemie macOS, która mogła umożliwić atakującym nieautoryzowane pozyskanie prywatnych danych przechowywanych w plikach użytkownika. Eksperci z zespołu Microsoft Threat Intelligence opisali tę podatność w swoim najnowszym wpisie na blogu, nadając jej nazwę „Sploitlight” ze względu na wykorzystanie wtyczek Spotlight do przełamania zabezpieczeń.
Podstawą tej luki jest obejście mechanizmu Transparency, Consent, and Control (TCC), który ma na celu ochronę prywatności użytkownika, uniemożliwiając aplikacjom dostęp do danych osobistych bez jego zgody. Spotlight, czyli systemowa wyszukiwarka Apple, korzysta z wtyczek, które umożliwiają wyświetlanie wyników wyszukiwania powiązanych z plikami aplikacji. Te wtyczki są jednak ściśle izolowane (sandboxed) i mają ograniczony dostęp do wrażliwych danych. Microsoft wykrył jednak sposób, by obejść te ograniczenia — badacze modyfikowali pakiety aplikacji ładowane przez Spotlight tak, by wyciekały z nich poufne informacje.
W wyniku tego ataku możliwe było pozyskanie bardzo szczegółowych i delikatnych danych, takich jak dokładna lokalizacja użytkownika, metadane zdjęć i filmów, dane rozpoznawania twarzy z biblioteki zdjęć, historia wyszukiwania, streszczenia maili generowane przez sztuczną inteligencję czy indywidualne preferencje użytkownika. Ten wyciek informacji mógł stanowić poważne zagrożenie dla prywatności i bezpieczeństwa wielu użytkowników Maców.
Microsoft przekazał szczegóły luki firmie Apple, która szybko zareagowała i usunęła problem w aktualizacjach macOS 15.4 oraz iOS 15.4, wydanych 31 marca 2025 roku. Co ważne, podatność ta nigdy nie była aktywnie wykorzystywana przez cyberprzestępców, ponieważ Apple zareagował jeszcze przed publicznym ujawnieniem informacji o niej. W oficjalnym dokumencie wsparcia dotyczącym aktualizacji Apple poinformował, że problem został rozwiązany poprzez ulepszenie mechanizmów redagowania danych (data redaction), które skuteczniej chronią poufne informacje. Jednocześnie wprowadzono poprawki uszczelniające inne dwie luki związane z walidacją linków symbolicznych oraz zarządzaniem stanem systemu, również wykryte i zgłoszone przez Microsoft.
Obszerne informacje na temat działania exploita „Sploitlight” zostały opublikowane przez Microsoft na ich stronie internetowej. Opis ten może stanowić cenne źródło wiedzy dla specjalistów ds. bezpieczeństwa, którzy monitorują zagrożenia w ekosystemie Apple.
Ta sytuacja podkreśla, jak istotne jest ciągłe monitorowanie i badanie oprogramowania pod kątem luk bezpieczeństwa, zwłaszcza w popularnych systemach operacyjnych. Zaufanie do mechanizmów ochrony prywatności i kontroli dostępu jest kluczowe dla użytkowników, którzy coraz częściej przechowują w swoich urządzeniach dane wyjątkowo wrażliwe. Szybka reakcja Apple na zgłoszenie Microsoftu pokazuje, że współpraca firm technologicznych jest niezbędna do utrzymania wysokiego poziomu bezpieczeństwa cyfrowego w dynamicznie zmieniającym się środowisku zagrożeń.
