Apple уже давно заслужила репутацию компании, уделяющей особое внимание безопасности своих устройств и программного обеспечения. Однако даже в таких тщательных и инновационных решениях могут возникать уязвимости, которые создают серьезные риски для пользователей. Одним из последних тревожных сигналов стала обнаруженная специалистом компании Positive Technologies критическая уязвимость в приложении Shortcuts (в русском варианте – «Быстрые команды»). Этот баг скрывает в себе потенциал для полного захвата управления системой, что способно привести к утечке, повреждению или удалению пользовательских данных. Разберемся, что именно представляет собой найденная ошибка, каким образом она может быть использована злоумышленниками, и какие шаги необходимо предпринять, чтобы обезопасить свои устройства от подобных угроз.
Приложение Shortcuts впервые появилось в macOS Monterey в 2021 году, представляя пользователям удобный инструмент автоматизации рутинных задач. Благодаря нему можно создавать сложные цепочки команд для выполнения на компьютере разнообразных операций – от запуска таймера и воспроизведения музыки до преобразования текста в аудиоформат. С течением времени Shortcuts стал неотъемлемой частью не только macOS, но и iOS, позволяя пользователям максимально оптимизировать свою работу с устройством. Секрет популярности данного инструмента заключается в гибкости и удобстве, однако с другой стороны все эти возможности создают потенциальные точки для атак. Недостаток безопасности, выявленный Егором Филатовым — младшим специалистом группы по исследованию мобильной безопасности Positive Technologies, представляет серьезную опасность.
Уязвимость позволяет злоумышленникам обойти встроенные механизмы защиты macOS и выполнить произвольный код с правами пользователя. Это означает, что при успешной эксплуатации уязвимости атакующий мог получить полный контроль над устройством, включая возможность читать, изменять и удалять файлы, а также запускать вредоносные процессы. Особую тревогу вызывает сценарий, при котором жертве достаточно лишь по неосторожности активировать специально созданный вредоносный макрос в приложении Shortcuts. Такие макросы могут быть распространены через интернет, электронную почту, социальные сети или мессенджеры под видом полезных или развлекательных команд. Поскольку Shortcuts поддерживает использование готовых шаблонов и макросов, пользователи без должной осмотрительности рискуют внедрить опасный код в систему одним лишь нажатием кнопки.
Уязвимость была зарегистрирована под идентификатором BDU:2025-02497 и получила высокую оценку по шкале CVSS 3.0 — 9,8 из 10 баллов, что свидетельствует о крайне высокой степени риска. На момент обнаружения баг присутствовал в версии Shortcuts 7.0 (2607.1.
3) и был доступен в актуальных версиях macOS, таких как Ventura, Sonoma и Sequoia. К счастью, Apple оперативно отреагировала: была выпущена патч-версия и обновление для macOS, устраняющее эту уязвимость. Несмотря на это, рекомендации специалистов крайне важны в плане защиты конечных пользователей. В первую очередь всем владельцам компьютеров на базе macOS рекомендуется обновить операционную систему до версии Sequoia 15.5 и выше.
Обновления содержат исправления и новые меры безопасности, которые значительно снижают вероятные риски. Однако, если по каким-либо причинам обновление невозможно выполнить, следует проявлять максимальную осторожность при использовании и загрузке новых быстрых команд и макросов. Не стоит запускать те команды, источник происхождения которых вызывает сомнения. Пользователи могут самостоятельно проверять содержание загруженных шаблонов, изучая последовательность их действий на предмет подозрительных операций. Образованные и внимательные юзеры получают дополнительный уровень защиты, поскольку большинство вредоносных макросов имеют явные признаки ненормальной активности – например, запросы доступа к системным файлам без объяснения причины или потенциально опасные вызовы внешних процессов.
Ситуация, обнаруженная Positive Technologies, является наглядным напоминанием, что современные технологии даже у крупнейших вендоров не гарантируют абсолютной безопасности. Программисты и инженеры постоянно создают новые и улучшенные решения, но одновременно с развитием функционала увеличивается и поверхность потенциальных рисков. Эксперты кибербезопасности советуют использовать комплексный подход к защите устройств. Помимо своевременного обновления операционной системы и приложений важна критическая оценка источников, откуда производится загрузка дополнительных команд или программ. Не следует игнорировать средства дополнительной защиты, предоставляемые самой системой macOS, такие как контроль доступа к данным и конфиденциальным ресурсам, а также возможность отката изменений.
Появление уязвимости в Apple Shortcuts показывает важность сотрудничества между компаниями и независимыми специалистами в области информационной безопасности. Positive Technologies выполнила ценную работу, выявив и проинформировав об угрозе, что позволило Apple оперативно устранить проблему. Этот кейс демонстрирует, насколько эффективной может быть совместная работа по обеспечению безопасности цифровой экосистемы. Помимо технической стороны, инцидент с Shortcuts привлекает внимание к вопросу цифровой гигиены пользователей. В эпоху стремительного распространения автоматизации и персонализации процессов значительно увеличивается роль осведомленности конечных пользователей о потенциальных рисках.
