GripNews🌕 macOS 權限彈出視窗的安全性:CVE-2025-31250 分析
➤ 權限欺騙漏洞讓使用者權益受損
✤ https://wts.dev/posts/tcc-who/
一項名為 CVE-2025-31250 的 macOS 安全漏洞允許惡意應用程式偽造權限請求彈出視窗,使使用者誤以為權限請求來自其他應用程式,並將權限授予給不同的應用程式。此漏洞源於 TCC (透明度、控制和隱私權) 權限系統在處理 Apple Events 時的邏輯錯誤,允許攻擊者混淆權限請求的來源與實際接收權限的應用程式。儘管類似的偽造技術先前已存在,但此漏洞不需要建立假應用程式或修改系統設定,顯著降低了攻擊門檻。
+ 聽起來很可怕!我一直很信任 macOS 的安全性,沒想到會出現這樣的情況。
+ 感謝安全研究人員及時發現並修補這個漏洞,希望蘋果能加強安全性,避免類似事件再次發生。
#macOS 安全漏洞 #TCC #Apple Events
➤ 權限欺騙漏洞讓使用者權益受損
✤ https://wts.dev/posts/tcc-who/
一項名為 CVE-2025-31250 的 macOS 安全漏洞允許惡意應用程式偽造權限請求彈出視窗,使使用者誤以為權限請求來自其他應用程式,並將權限授予給不同的應用程式。此漏洞源於 TCC (透明度、控制和隱私權) 權限系統在處理 Apple Events 時的邏輯錯誤,允許攻擊者混淆權限請求的來源與實際接收權限的應用程式。儘管類似的偽造技術先前已存在,但此漏洞不需要建立假應用程式或修改系統設定,顯著降低了攻擊門檻。
+ 聽起來很可怕!我一直很信任 macOS 的安全性,沒想到會出現這樣的情況。
+ 感謝安全研究人員及時發現並修補這個漏洞,希望蘋果能加強安全性,避免類似事件再次發生。
#macOS 安全漏洞 #TCC #Apple Events
