苹果macOS曝Spotlight隐私漏洞

7月29日，有安全团队披露在苹果macOS系统中发现一个与Spotlight功能相关的安全漏洞，该漏洞可能被恶意攻击者利用，从而获取用户设备上的敏感文件信息。

Spotlight是苹果macOS及iOS系统内置的桌面搜索工具，具备快速查找和实时显示功能，其设计原理类似于其他操作系统中的索引服务。该功能可帮助用户快速定位文件、应用或系统内容。

相关报告指出，此次发现的漏洞涉及透明度、同意与控制（TCC）机制的绕过问题，可能导致原本受保护的信息被非法访问。TCC机制的初衷是确保应用程序在未获得用户明确授权前，无法访问设备中的个人数据。Spotlight插件允许第三方应用的内容出现在搜索结果中，苹果对此功能实施了沙盒隔离，以限制其对敏感文件的访问权限。然而，研究人员发现，通过特定方式修改由Spotlight加载的应用程序包，可绕过现有防护措施，导致文件内容被泄露。

利用该漏洞，攻击者有可能获取包括精确地理位置、照片与视频的元数据、相册中的人脸识别信息、用户搜索记录、基于人工智能生成的邮件摘要以及个人偏好设置等隐私数据。

该问题已在苹果于3月31日发布的macOS 15.4和iOS 15.4更新中得到修复。由于漏洞在公开披露前已被修补，目前尚无证据表明其已被实际用于针对用户的攻击行为。

苹果在更新后的安全支持文档中说明，此次修复主要通过优化数据访问控制机制实现。此外，同期还修复了另外两个由安全研究人员提交的问题，涉及符号链接验证的增强和系统状态管理的改进。