Microsoft a révélé une vulnérabilité sérieuse sur macOS, nommée « SploitLight », qui permettrait à des applications malveillantes de contourner les protections de confidentialité du système. Cette faille exploite la manière dont Spotlight indexe les données des plugins pour accéder à des fichiers sensibles et aux métadonnées d’Apple Intelligence. Bien qu’Apple ait corrigé le problème dans macOS en mars, les utilisateurs de versions antérieures pourraient encore être exposés.
Suite à la découverte de l’exploitation, Microsoft a alerté Apple, ce qui a conduit à la mise à jour corrective apportée plus tôt cette année. Selon le blog de sécurité de Microsoft :
« Microsoft Threat Intelligence a découvert une vulnérabilité macOS pouvant permettre à des attaquants de voler des données privées de fichiers normalement protégés par la Transparence, le Consentement et le Contrôle (TCC), tels que les fichiers dans le dossier Téléchargements, ainsi que les caches utilisés par Apple Intelligence. »
Cette vulnérabilité, désignée sous le nom de « SploitLight » en raison de l’utilisation de plugins Spotlight, présente de graves implications. Elle permettrait d’extraire et de divulguer des informations sensibles mises en cache par Apple Intelligence, telles que des données de géolocalisation précises, des métadonnées de photos et de vidéos, ainsi que des données de reconnaissance faciale et de préférences utilisateur.
Les risques sont aggravés par la possibilité de liaison à distance entre les comptes iCloud. Un attaquant ayant accès à un appareil macOS pourrait exploiter cette vulnérabilité pour déterminer des informations d’autres appareils liés au même compte iCloud.
Récapitulatif de l’exploit :
- Exploitation ciblant la recherche Spotlight sur macOS et son processus d’indexation de métadonnées.
- Applications malveillantes installant des plugins spécialement conçus dans des répertoires accessibles aux utilisateurs.
- Spotlight indexait ces plugins, entraînant leur exécution sans interaction de l’utilisateur.
- Accès à des emplacements protégés tels que Téléchargements et données Safari.
- Lecture des métadonnées du cache d’Apple Intelligence due à un contrôle TCC insuffisant.
- Contourner les protections de Transparence, Consentement et Contrôle (TCC) par une faille de conception.
Microsoft rappelle que la correction, identifiée sous le code CVE-2025-31199, a été mise en place en mars par Apple et encourage les utilisateurs de macOS à appliquer ces mises à jour de sécurité dès que possible.
