Microsoft Threat Intelligence a découvert une vulnérabilité critique sur macOS, identifiée sous le nom de CVE-2025-31199 ou ‘Sploitlight’. Cette faille permet aux attaquants de contourner les protections Transparency, Consent, and Control (TCC) en utilisant des plugins Spotlight malveillants.
La vulnérabilité permet un accès non autorisé à des fichiers sensibles dans des répertoires protégés tels que Downloads et Pictures. Plus grave encore, elle peut extraire des données privées mises en cache par Apple Intelligence, y compris des données de géolocalisation, des métadonnées de photos, des données de reconnaissance faciale et l’historique de recherche.
L’attaque exploite les importateurs Spotlight (.mdimporter bundles) en modifiant leurs fichiers Info.plist et schema.xml pour cibler des types de fichiers spécifiques. Elle utilise ensuite le processus privilégié mdworker pour lire et exfiltrer le contenu des fichiers via la journalisation unifiée.
Cette technique permet de charger et d’exécuter des plugins malveillants non signés avec un accès élevé aux répertoires sensibles. Elle fonctionne en forçant Spotlight à utiliser des bundles malveillants via des commandes mdimport, puis en extrayant le contenu des fichiers en morceaux à travers les journaux système.
Cet article est une publication de recherche visant à analyser la vulnérabilité et son impact, tout en soulignant l’importance des mises à jour de sécurité récemment publiées par Apple pour corriger cette faille.
🔗 Source originale : https://www.microsoft.com/en-us/security/blog/2025/07/28/sploitlight-analyzing-a-spotlight-based-macos-tcc-vulnerability/