A vulnerabilidade que já foi corrigida nas últimas atualizações do iOS e macOS, permitia aceder a dados sensíveis sem consentimento dos utilizadores.
A Microsoft revelou ter descoberto uma vulnerabilidade crítica no Spotlight, o sistema de pesquisa da Apple presente no iOS e macOS. A falha, que entretanto ficou conhecida como “Sploitlight” entre os elementos da equipa de Inteligência de Ameaças da Microsoft, permitia contornar as proteções de privacidade da Apple e aceder a dados pessoais sensíveis sem o consentimento dos utilizadores.
O problema residia numa falha no TCC (Transparency, Consent, and Control), o sistema da Apple concebido para restringir o acesso a informações privadas por parte de aplicações. Através da exploração de plug-ins utilizados pelo Spotlight para indexação de ficheiros, os investigadores conseguiram quebrar o isolamento de segurança (sandbox) dos processos, e aceder a conteúdos normalmente protegidos.
Ao manipular os pacotes de certas aplicações, os especialistas da Microsoft conseguiram extrair dados altamente confidenciais armazenados em cache pelo Apple Intelligence, incluindo informações de localização detalhadas, metadados de imagens e vídeos, dados de reconhecimento facial da galeria de fotos, histórico de pesquisas do utilizador, resumos de e-mails gerados por inteligência artificial e até as preferências e padrões de uso individuais.
Seguindo práticas de divulgação responsável, a Microsoft notificou a Apple de imediato, que reagiu prontamente, lançando atualizações de segurança a 31 de março para resolver o problema — integradas no iOS 15.4 e macOS 15.4. De acordo com a documentação oficial, a vulnerabilidade foi corrigida antes de qualquer exploração maliciosa conhecida, prevenindo possíveis ataques.
E para além desta falha no Spotlight, a Apple corrigiu na mesma atualização duas outras vulnerabilidades adicionais atribuídas também à Microsoft. Uma dizia respeito à validação de ligações simbólicas (symlinks) e outra ao controlo de estado do sistema, reforçando ainda mais a segurança dos seus sistemas operativos.
