Source: Objective-See — Le chercheur en sécurité Patrick Wardle publie une analyse montrant une vulnérabilité 0‑day dans les plugins Spotlight de macOS permettant de contourner TCC et d’exfiltrer des données protégées, toujours non corrigée dans macOS Tahoe (26).

🛑 La faille exploite un bug du mécanisme de notifications Darwin identifié depuis 2015. Des plugins Spotlight malveillants, bien que fortement sandboxés, peuvent lire des fichiers protégés par TCC (dont des bases liées à Apple Intelligence et le knowledgeC.db) puis exfiltrer leur contenu en l’encodant dans les noms de notifications Darwin, accessibles à un processus externe à l’écoute.

Fonctionnement de l’exploit (démonstration):

  • Installation d’un plugin malveillant dans ~/Library/Spotlight/.
  • Déclenchement de l’indexation via mdimport.
  • Lecture, pendant l’indexation, de fichiers TCC‑protégés par le plugin.
  • Transmission des données octet par octet via CFNotificationCenterPostNotification (valeurs ASCII 0‑255 dans les noms de notification).
  • Un écouteur externe reconstruit les contenus des fichiers à partir des notifications.

Portée et limites:

  • Les produits concernés: macOS (incl. Tahoe 26). Les cibles démontrées: knowledgeC.db (analytique comportementale utilisateur) et bases Apple Intelligence.
  • Contraintes: faible bande passante, problèmes de synchronisation, dépendance aux schémas d’indexation de Spotlight.
  • Prérequis: accès local; aucune permission spéciale ni notarisation nécessaires.

IOCs et TTPs:

  • IOCs: aucun indicateur spécifique fourni.
  • TTPs:
    • Installation d’un plugin Spotlight dans ~/Library/Spotlight/.
    • Déclenchement d’indexation via mdimport.
    • Lecture de fichiers protégés par TCC durant l’indexation.
    • Exfiltration par centre de notifications Darwin via CFNotificationCenterPostNotification avec encodage des octets dans les noms de notification.
    • Reconstruction des données par un processus écouteur externe.

Conclusion: Publication de recherche détaillant une technique d’exfiltration exploitant un 0‑day de macOS via des plugins Spotlight et le mécanisme de notifications Darwin, avec preuve de concept et limites observées.

🔗 Source originale : https://objective-see.org/blog/blog_0x81.html

🖴 Archive : https://web.archive.org/web/20250917123726/https://objective-see.org/blog/blog_0x81.html