某中心发现苹果Spotlight搜索存在重大隐私漏洞

某中心威胁情报团队发现了一个与Spotlight相关的漏洞（代号"Sploitlight"），该漏洞能够绕过透明化、 consent和控制（TCC）框架，可能导致苹果智能系统缓存的数据泄露。

根据某中心发布的博客文章，此漏洞利用Spotlight插件可能暴露私人文件数据。TCC机制原本旨在防止应用程序在未经用户明确同意的情况下访问个人信息，但"Sploitlight"漏洞成功绕过了这些控制措施，使得攻击者能够未授权访问敏感用户数据。

潜在泄露的数据包括：

• 精确位置信息
• 照片和视频的元数据
• 照片库中的人脸识别数据
• 用户搜索历史记录
• 智能邮件摘要
• 用户偏好设置

尽管苹果对Spotlight插件进行了沙盒处理（通常限制对敏感文件的访问），但某中心研究人员发现可以通过操纵Spotlight拉取的应用捆绑包来导致文件内容泄露。

某中心已向苹果通报了漏洞细节。苹果随后在3月31日发布的macOS 15.4和iOS 15.4更新中修复了该漏洞。在披露和修复之前，该漏洞未被主动利用。苹果的安全更新文档表明，通过改进数据编辑技术解决了该问题。

同时，苹果还修复了另外两个由某中心报告的安全漏洞，包括增强符号链接验证和改进状态管理。关于该漏洞利用机制的完整信息可在某中心官方网站上获取。