Pesquisadores da Microsoft revelaram uma falha crítica no Spotlight do macOS que colocava em risco dados sigilosos gerados por ferramentas de IA da Apple, como o recém-lançado Apple Intelligence. A vulnerabilidade, apelidada de "Sploitlight", foi encontrada na forma como o sistema de busca do macOS lidava com arquivos e metadados de forma não segura.
O problema permitia que atacantes acessassem informações sensíveis que deveriam estar protegidas, inclusive dados gerados por funcionalidades inteligentes como resumos automáticos e sugestões contextuais. Isso ocorre porque o Spotlight indexava arquivos temporários e de sistema — inclusive dados tratados como privados — sem a devida proteção, tornando-os visíveis em buscas locais feitas por qualquer usuário ou aplicativo malicioso.
Embora a falha não permitisse o acesso remoto, bastava que o atacante tivesse acesso local ao sistema, mesmo com permissões limitadas, para explorar o problema. A Microsoft notificou a Apple, que corrigiu a vulnerabilidade no macOS 14.4, lançado em março de 2025.
Esse tipo de falha ganha relevância justamente no momento em que as grandes empresas de tecnologia estão incorporando recursos de IA generativa a seus sistemas operacionais, o que implica em novos riscos relacionados à privacidade e ao vazamento de dados.
Dica de Prevenção:
Mantenha o macOS sempre atualizado e revise as permissões de aplicativos que acessam dados locais. Para ambientes corporativos, recomenda-se limitar o uso de funcionalidades de IA que armazenem dados localmente sem criptografia. Monitoramento de endpoints e auditoria contínua são aliados importantes.
O caso “Sploitlight” mostra como até funcionalidades básicas, como buscas internas, podem se tornar vetores de exposição de dados sensíveis. Para proteger sua empresa de riscos como esse, conte com o suporte da LC SEC. Saiba mais em lcsec.io
Compartilhe nas redes sociais:
