漏洞概述

微軟威脅情報部門最新披露的macOS漏洞（編號CVE-2025-31199）允許攻擊者繞過蘋果隱私控制機制，訪問包括Apple Intelligence緩存文件在內(nèi)的敏感用戶數(shù)據(jù)。該漏洞被命名為"Sploitlight"，其利用方式是通過濫用Spotlight插件來泄露受保護文件。

技術原理

漏洞核心在于macOS內(nèi)置搜索工具Spotlight處理"導入器"（importers）插件的方式。這些插件原本用于幫助索引Outlook、Photos等特定應用的內(nèi)容。微軟研究人員發(fā)現(xiàn)：

• 攻擊者可以篡改這些導入器，在未經(jīng)用戶許可的情況下掃描并泄露"下載"、"圖片"等受TCC（透明化、許可與控制）機制保護的目錄數(shù)據(jù)
• 通過系統(tǒng)日志分塊記錄文件內(nèi)容后靜默提取
• 所有基于ARM架構(gòu)的Mac默認安裝的Apple Intelligence會緩存地理位置數(shù)據(jù)、照片視頻元數(shù)據(jù)、人臉識別結(jié)果及搜索歷史等敏感信息

攻擊流程

微軟提供的概念驗證展示了攻擊步驟：

• 修改Spotlight插件的元數(shù)據(jù)
• 將其放置在特定目錄
• 觸發(fā)掃描即可訪問敏感文件夾 由于這些插件無需簽名，攻擊者僅需修改文本文件即可實施攻擊，完全繞過系統(tǒng)許可機制。

潛在影響

該漏洞的危害不僅限于單臺設備：

• 通過iCloud同步的元數(shù)據(jù)和人臉識別信息可能使關聯(lián)的iPhone/iPad設備間接暴露風險
• 這是蘋果處理的又一起TCC機制繞過事件，與此前的powerdir、HM-Surf等漏洞相比，Sploitlight利用系統(tǒng)可信組件的特點使其更具隱蔽性

修復建議

蘋果已在2025年3月發(fā)布的macOS Sequoia更新中修復該漏洞。微軟感謝蘋果安全團隊通過協(xié)調(diào)漏洞披露機制的合作，并強烈建議用戶立即安裝更新補丁，特別是已啟用Apple Intelligence功能的Mac用戶。