Microsoft Threat Intelligence đã công bố phát hiện về một lỗ hổng zero-day nghiêm trọng trong hệ điều hành macOS, cho phép kẻ tấn công vượt qua hoàn toàn khuôn khổ bảo mật cốt lõi Transparency, Consent, and Control (TCC) của Apple. Sự việc này tiềm ẩn nguy cơ cực lớn, khi kẻ tấn công có thể truy cập và làm lộ các dữ liệu người dùng nhạy cảm, bao gồm những tệp tin được bảo vệ nghiêm ngặt bởi các kiểm soát quyền riêng tư cũng như thông tin quý giá được lưu trữ trong bộ nhớ đệm của Apple Intelligence.
Sploitlight: Lỗ hổng TCC macOS và các rủi ro bảo mật mạng
Lỗ hổng mới được đặt tên “Sploitlight” bởi các nhà nghiên cứu Microsoft, khai thác cơ chế của các plugin Spotlight để truy cập trực tiếp vào các tệp riêng tư mà lẽ ra phải nằm ngoài tầm với do các hạn chế của TCC. Điểm khác biệt lớn của Sploitlight so với các lỗ hổng bypass TCC trước đây như HM-Surf hay Powerdir nằm ở mức độ nghiêm trọng của rủi ro. Sploitlight không chỉ đơn thuần là vượt qua TCC để truy cập tệp, mà nó còn có khả năng trích xuất thông tin cực kỳ nhạy cảm được lưu trữ và xử lý bởi Apple Intelligence.
Các dữ liệu này bao gồm thông tin vị trí địa lý chính xác, siêu dữ liệu chi tiết của ảnh và video, dữ liệu nhận diện khuôn mặt, lịch sử tìm kiếm, và các tùy chọn cá nhân của người dùng. Một khía cạnh đặc biệt đáng lo ngại của lỗ hổng zero-day này là khả năng liên kết từ xa giữa các tài khoản iCloud. Điều này ngụ ý rằng, nếu một kẻ tấn công giành được quyền truy cập vào một thiết bị macOS, chúng có tiềm năng khai thác lỗ hổng để thu thập thông tin từ tất cả các thiết bị khác được liên kết với cùng một tài khoản iCloud, mở rộng đáng kể phạm vi tấn công và rò rỉ dữ liệu.
Cơ chế kỹ thuật khai thác lỗ hổng Sploitlight
Phương thức khai thác Sploitlight dựa trên việc lạm dụng Spotlight importers. Đây là các gói phần mềm chuyên biệt của macOS có phần mở rộng .mdimporter, được thiết kế để hỗ trợ quá trình lập chỉ mục và tìm kiếm dữ liệu trên hệ thống. Theo thiết kế ban đầu, các plugin này hoạt động trong một môi trường sandbox bị hạn chế nghiêm ngặt, chỉ được phép đọc nội dung của tệp cụ thể mà chúng đang quét. Tuy nhiên, nhóm nghiên cứu của Microsoft đã phát hiện ra một phương pháp độc đáo. Kẻ tấn công có thể thao túng các plugin này để thực hiện việc exfiltrate (trích xuất) nội dung tệp bằng cách ghi dữ liệu đó vào hệ thống nhật ký hợp nhất của macOS (unified log system).
Quy trình tấn công cụ thể được mô tả như sau, diễn ra mà không yêu cầu mã độc phải được ký số (code signing), làm cho cuộc tấn công trở nên dễ dàng triển khai hơn:
- Sửa đổi cấu hình: Kẻ tấn công tạo một gói
.mdimporterđộc hại và sửa đổi các tệp cấu hình bên trong gói để khai báo các loại tệp đích mà chúng muốn truy cập. - Triển khai gói độc hại: Gói
.mdimporterđộc hại này sau đó được sao chép vào thư mục~/Library/Spotlightcủa người dùng bị nhắm mục tiêu. - Kích hoạt quét và rò rỉ: Cuối cùng, kẻ tấn công sử dụng các lệnh
mdimportđể kích hoạt quá trình quét các tệp được bảo vệ. Trong quá trình quét này, dữ liệu nhạy cảm từ các tệp sẽ được ghi vào unified log system, nơi kẻ tấn công có thể thu thập.
Chi tiết phân tích kỹ thuật chuyên sâu về Sploitlight, bao gồm các bước khai thác và phân tích rủi ro, đã được Microsoft công bố. Đây là một nguồn tài liệu đáng tin cậy cho bất kỳ chuyên gia an ninh mạng nào muốn tìm hiểu sâu hơn về lỗ hổng zero-day này: Analyzing a Spotlight-Based macOS TCC Vulnerability.
Mã minh họa cách khai thác dữ liệu thông qua mdimport
Mặc dù không có mã khai thác công khai hoàn chỉnh cho lỗ hổng CVE này, nhưng quá trình tấn công được mô tả liên quan trực tiếp đến việc điều khiển lệnh mdimport. Ví dụ sau đây minh họa một kịch bản giả định về cách kẻ tấn công có thể kích hoạt quá trình quét và thu thập thông tin nhạy cảm:
# Bước 1: Giả định đã tạo được gói .mdimporter độc hại và đặt tên là "EvilImporter.mdimporter"
# Sau đó sao chép nó vào thư mục Spotlight của người dùng bị tấn công.
# Lưu ý: Lệnh này yêu cầu quyền ghi vào thư mục người dùng.
cp -R /path/to/EvilImporter.mdimporter ~/Library/Spotlight/
# Bước 2: Kích hoạt mdimport để xử lý một tệp cơ sở dữ liệu Apple Intelligence nhạy cảm.
# Lệnh này sẽ khiến EvilImporter.mdimporter được tải và xử lý tệp chỉ định,
# đồng thời ghi nội dung nhạy cảm vào unified log system.
# '-d 1' kích hoạt chế độ gỡ lỗi chi tiết, giúp kẻ tấn công thu thập nhiều thông tin hơn.
mdimport -d 1 /Users/victim/Library/Application\ Support/Apple/Intelligence/CacheDB.sqlite
Sau khi lệnh mdimport hoàn thành, dữ liệu đã được trích xuất sẽ nằm trong nhật ký hệ thống của macOS. Kẻ tấn công có thể sử dụng các công cụ như log show để truy xuất thông tin này từ nhật ký. Đây là một ví dụ rõ ràng về cách một lỗ hổng zero-day có thể bị lạm dụng để đạt được mục tiêu đánh cắp dữ liệu.
Tác động và rủi ro từ việc lộ dữ liệu Apple Intelligence
Tính chất nguy hiểm của lỗ hổng Sploitlight được nâng cao đáng kể khi nó nhắm mục tiêu vào các tệp bộ nhớ đệm của Apple Intelligence. Các tệp này thường được lưu trữ trong các thư mục được bảo vệ như thư mục Ảnh (Pictures) hoặc các đường dẫn ẩn khác trong thư mục Library của người dùng. Các tệp cơ sở dữ liệu này chứa đựng một lượng lớn thông tin cá nhân cực kỳ nhạy cảm được xử lý bởi hệ thống AI của Apple, bao gồm các mẫu hành vi người dùng chi tiết và dữ liệu sử dụng thiết bị cụ thể. Nếu bị khai thác, những thông tin này có thể được sử dụng cho các mục đích bất chính như giám sát cá nhân, tạo hồ sơ chi tiết về nạn nhân, hoặc thậm chí là đánh cắp dữ liệu nhạy cảm cho mục đích lừa đảo danh tính.
Khả năng liên kết từ xa giữa các tài khoản iCloud càng làm trầm trọng thêm mức độ rủi ro của lỗ hổng zero-day này. Một khi kẻ tấn công có thể khai thác trên một thiết bị, chúng có tiềm năng mở rộng phạm vi xâm nhập. Từ đó, kẻ tấn công có thể thu thập thông tin từ nhiều thiết bị khác nhau của cùng một nạn nhân, dẫn đến một cuộc rò rỉ dữ liệu nhạy cảm trên diện rộng và gia tăng nguy cơ ảnh hưởng đến quyền riêng tư và an toàn thông tin của người dùng cá nhân và tổ chức.
Khuyến nghị và biện pháp phòng ngừa: Cập nhật bản vá bảo mật là cấp thiết
Để khắc phục lỗ hổng zero-day Sploitlight, Apple đã nhanh chóng phát hành các bản cập nhật bảo mật cho macOS Sequoia. Bản vá này đã được tích hợp vào bản cập nhật bảo mật ngày 31 tháng 3 năm 2025 của Apple. Sự hợp tác chặt chẽ giữa Apple và Microsoft thông qua quy trình tiết lộ phối hợp đã giúp hai công ty phát triển và triển khai các bản sửa lỗi cần thiết một cách kịp thời.
Các chuyên gia an toàn thông tin khuyến nghị mạnh mẽ tất cả người dùng macOS nên áp dụng các bản cập nhật bản vá bảo mật mới nhất ngay lập tức. Đây là hành động bảo vệ chủ động và hiệu quả nhất chống lại khả năng khai thác lỗ hổng này. Các tổ chức cần ưu tiên hàng đầu việc vá lỗi cho các hệ thống. Đặc biệt là những hệ thống xử lý dữ liệu nhạy cảm hoặc đã kích hoạt các tính năng của Apple Intelligence. Bởi lẽ, những môi trường này đối mặt với rủi ro cao nhất từ vector tấn công của Sploitlight.
Việc bỏ qua hoặc trì hoãn việc cập nhật bản vá sẽ duy trì một nguy cơ bảo mật đáng kể, mở ra cánh cửa cho các cuộc tấn công mạng. Trong bối cảnh các mối đe dọa ngày càng tinh vi, việc duy trì một hệ thống được vá lỗi đầy đủ là nền tảng vững chắc để đảm bảo an ninh mạng và bảo vệ dữ liệu trước các lỗ hổng zero-day mới phát sinh.
