Microsoft scopre “Sploitlight”, la vulnerabilità che mette in pericolo macOS e iOS

Una nuova minaccia informatica mette in discussione la sicurezza dei dispositivi Apple: si chiama Sploitlight ed è una vulnerabilità che, secondo il team di Microsoft Threat Intelligence, rappresenta un grave rischio per la privacy degli utenti macOS e, indirettamente, anche iOS.

Come spesso accade nel mondo della cybersecurity, la scoperta non riguarda una funzione di nicchia, ma colpisce uno degli strumenti più utilizzati e apparentemente innocui: il motore di ricerca integrato Spotlight. La gravità della situazione è stata sottolineata da Jonathan Bar Or, che ha dichiarato: “La sicurezza è un’illusione quando persino le funzioni più basilari possono trasformarsi in backdoor per i nostri dati più sensibili”.

Che cos’è Sploitlight

Il cuore della vulnerabilità, identificata come CVE 2025 31199, risiede nella gestione dei plugin di Spotlight. Questi componenti, noti come .mdimporter, vengono utilizzati dal sistema per indicizzare i file presenti sul dispositivo, attraverso processi chiamati mdworker.

Nonostante dovrebbero operare in ambienti protetti tramite sandbox, i plugin ricevono temporaneamente privilegi elevati, esponendo così il sistema a rischi inattesi. Gli esperti di Microsoft Threat Intelligence hanno dimostrato che un attaccante può inserire plugin malevoli non firmati direttamente nella directory di Spotlight dell’utente.

In questo modo, è possibile aggirare le restrizioni del sistema TCC (Transparency, Consent, and Control) e ottenere l’accesso a informazioni normalmente protette.

L’impatto di Sploitlight non si limita alla sola macchina infetta. Sfruttando questa vulnerabilità, un malintenzionato può sottrarre dati estremamente sensibili: tra questi figurano le coordinate GPS complete di timestamp, metadati associati a foto e video, cluster di riconoscimento facciale, cronologie di ricerca e persino i tag di classificazione generati da Apple Intelligence.

Particolarmente allarmante è la possibilità di accedere a dati provenienti da altri dispositivi Apple collegati allo stesso Apple ID. Questo significa che, una volta compromesso un Mac, l’attaccante può potenzialmente ottenere informazioni anche da iPhone, iPad e altri device sincronizzati tramite iCloud, ampliando enormemente la portata della minaccia.

La risposta di Apple

La risposta di Apple non si è fatta attendere: il 31 marzo 2025, con il rilascio di Sequoia 15.4, è stata implementata una patch per correggere la falla. L’aggiornamento ha introdotto miglioramenti nella gestione e nella redazione dei dati sensibili, oltre a un rafforzamento dei permessi relativi al sistema di logging.

Tuttavia, il fix è stato inserito in modo discreto, senza particolare enfasi o comunicazione diretta agli utenti, lasciando così molti potenzialmente esposti. Questo episodio mette in luce come anche le funzionalità più radicate nell’ecosistema Apple possano trasformarsi in vettori di attacco se non vengono costantemente monitorate e aggiornate.

Sploitlight si aggiunge a una lista crescente di vulnerabilità che hanno permesso negli ultimi anni di bypassare i controlli TCC, come già accaduto con le minacce note come powerdir e HM Surf. Questi casi dimostrano quanto sia fondamentale non sottovalutare il rischio rappresentato da plugin e componenti apparentemente secondari, soprattutto in un ambiente chiuso e controllato come quello di macOS.