Microsoft Threat Intelligence ha revelado una vulnerabilidad crítica en macOS que permite a los atacantes eludir el marco de Transparencia, Consentimiento y Control (TCC) de Apple. Esta falla podría exponer datos de usuario altamente sensibles, incluyendo archivos protegidos por controles de privacidad e información almacenada en caché por Apple Intelligence.
«Sploitlight»: Una Amenaza Significativa a la Privacidad
La vulnerabilidad, bautizada como «Sploitlight» por los investigadores de Microsoft, explota los complementos de Spotlight para acceder a archivos privados que normalmente estarían protegidos por las restricciones de TCC. A diferencia de previas omisiones de TCC (como HM-Surf y powerdir), Sploitlight representa un riesgo más grave debido a su capacidad para extraer información confidencial almacenada en caché por Apple Intelligence. Esto incluye datos precisos de geolocalización, metadatos de fotos y videos, datos de reconocimiento facial, historial de búsqueda y preferencias del usuario.
Una preocupación adicional es la capacidad de la vulnerabilidad para vincularse remotamente entre cuentas de iCloud. Esto significa que un atacante con acceso a un dispositivo macOS podría explotar la falla para recopilar información de otros dispositivos vinculados a la misma cuenta de iCloud.
Mecanismo del Ataque
El exploit aprovecha los importadores de Spotlight, que son paquetes de macOS con la extensión .mdimporter, diseñados para indexar datos para la función de búsqueda. Aunque estos complementos suelen operar bajo estrictas restricciones de sandboxing y solo pueden leer el archivo específico que se escanea, los investigadores de Microsoft descubrieron que los atacantes pueden manipularlos para filtrar el contenido de los archivos registrando datos en el sistema de registro unificado.
El proceso de ataque implica:
- Modificar los archivos de configuración del paquete para declarar los tipos de archivos objetivo.
- Copiar el paquete malicioso al directorio
~/Library/Spotlight. - Usar comandos
mdimportpara escanear y filtrar archivos protegidos.
Es importante destacar que el paquete malicioso no requiere firma de código, lo que simplifica la ejecución del ataque. La vulnerabilidad se vuelve particularmente peligrosa cuando se dirige a los archivos de caché de Apple Intelligence almacenados en directorios protegidos como la carpeta Imágenes. Estos archivos de base de datos contienen información altamente confidencial procesada por el sistema de IA de Apple, incluyendo patrones detallados de comportamiento del usuario y datos de uso del dispositivo, que podrían ser utilizados para vigilancia o robo de identidad.
Solución y Recomendaciones de Seguridad
Apple lanzó actualizaciones de seguridad para macOS Sequoia que abordan esta vulnerabilidad como parte de su actualización de seguridad del 31 de marzo de 2025. La empresa colaboró con Microsoft a través de su proceso de divulgación coordinada para desarrollar e implementar las correcciones necesarias.
Los expertos en seguridad recomiendan encarecidamente a todos los usuarios de macOS que apliquen las últimas actualizaciones de seguridad de inmediato para protegerse contra una posible explotación de esta vulnerabilidad. Las organizaciones deben priorizar la aplicación de parches en los sistemas que manejan datos sensibles o que tienen habilitadas las funciones de Apple Intelligence, ya que estos entornos corren el mayor riesgo de este vector de ataque.
