macOS Sploitlight Açığı, Apple Intelligence Önbelleğe Alınmış Verileri Saldırganlara Açıklıyor

Yeni açıklanan bir macOS güvenlik açığı, saldırganların Apple'ın gizlilik kontrollerini aşmasına ve Apple Intelligence tarafından önbelleğe alınan dosyalar da dahil olmak üzere hassas kullanıcı verilerine erişmesine olanak tanıyor. CVE-2025-31199 olarak izlenen bu güvenlik açığı, Microsoft Threat Intelligence tarafından tespit edildi ve Spotlight eklentilerini kötüye kullanarak korunan dosyaları sızdıran bir yöntem içeriyor.

Güvenlik açığını ilk tespit eden Microsoft Threat Intelligence, açığı ortaya çıkardı ve Spotlight eklentilerini kötüye kullanması nedeniyle bu açığı "Sploitlight" olarak adlandırdı. Apple halihazırda bir yama yayınlamış olsa da, açığın arkasındaki teknik yöntem, özellikle Apple'ın en yeni yapay zeka destekli özelliklerini kullanan macOS kullanıcıları için endişe verici olmalı.

Her şey, macOS'un yerleşik arama aracı olan Spotlight'ın , içe aktarıcı olarak bilinen eklentileri nasıl işlediğiyle başlıyor. Bu eklentiler, Outlook veya Fotoğraflar gibi belirli uygulamalardan içerikleri dizine eklemeye yardımcı olmak üzere tasarlanmıştır.

Microsoft araştırmacıları, saldırganların bu içe aktarıcıları, kullanıcının izni olmadan bile İndirmeler ve Resimler gibi TCC korumalı konumlardaki hassas verileri tarayıp sızdıracak şekilde değiştirebileceğini keşfetti. İşin sırrı ne? Dosya içeriklerini sistem günlüğüne parçalar halinde kaydedip, ardından sessizce geri almak.

Ancak şirketin blog yazısına göre durum daha da kötüleşiyor. Tüm ARM tabanlı Mac'lere varsayılan olarak yüklenen Apple Intelligence, coğrafi konum verilerini, fotoğraf ve video meta verilerini, tanınan yüzleri ve hatta arama geçmişini içeren önbellekleri depoluyor.

TCC (Şeffaflık, Onay ve Kontrol) kuralları kapsamında korunan bu bilgiler, genellikle kullanıcı onayı olmayan uygulamalar tarafından erişilemez. Ancak saldırganlar, Sploitlight kullanarak bu verileri doğrudan önbelleklerden çekerek sistemin onay mekanizmalarını tamamen atlatabilirler.

Microsoft'un kavram kanıtı, saldırganların bu açığı istismar etmek için kullanabilecekleri net bir adım adım süreç gösteriyor. Bir Spotlight eklentisinin meta verilerini değiştirerek, belirli bir dizine yerleştirerek ve bir tarama başlatarak, saldırganlar erişim talebinde bulunmadan hassas klasörlere erişebilirler. Bu eklentilerin imzalanması gerekmediği için derlemeye gerek yoktur. Tek gereken, bir metin dosyasında birkaç değişiklik yapmaktır.

Apple'ın Mart 2025'te macOS Sequoia için yayınladığı yama bu açığı gideriyor. Microsoft, Apple'ın güvenlik ekibine Koordineli Güvenlik Açığı Açıklaması kapsamındaki iş birliği için teşekkür etti ve kullanıcıları güncellemeleri gecikmeden yüklemeye çağırdı.

Etki, saldırının mekanizmasının ötesine geçiyor ve gerçek kullanıcı verilerini etkiliyor. Meta veriler ve yüz tanıma bilgileri iCloud aracılığıyla Apple cihazları arasında senkronize edildiğinden, tek bir Mac'i kullanan saldırganlar, aynı hesaba bağlı iPhone veya iPad'ler hakkında dolaylı bilgiler de elde edebilir.

Bu, Apple'ın karşılaştığı ilk TCC atlatması değil. powerdir ve HM-Surf gibi önceki örnekler farklı sistem bileşenlerine dayanıyordu, ancak Sploitlight'ın Spotlight içe aktarıcılarını kullanması, saldırıyı hem sinsi hem de etkili kılıyor. Güvenilir işletim sistemi bileşenleri ile kullanıcı kontrollü kaynaklardan enjekte edilebilecekler arasındaki çizgiyi bulanıklaştırıyor.

Özellikle Apple Intelligence özellikleri etkin olan bir Mac kullanıyorsanız, sisteminizin güncel olduğundan emin olun. CVE-2025-31199 için düzeltme yayında ve kullanılabilir durumda. Uygulanması, bu çok özel veri hırsızlığı yöntemini ortadan kaldırır.