iOS 17.3修复了一个恶意快捷指令相关的漏洞

根据BitDefender进行的研究，在iOS 17.3更新之前，恶意快捷指令可以捕获照片等敏感数据并将其发送给攻击者。iOS、iPadOS和macOS内置了快捷指令，为用户提供构建自动化的方式。这些快捷指令可以通过链接在用户之间共享，这可能会导致恶意快捷指令的广泛共享。

根据BitDefender进行的研究，用户可以获得一个快捷指令，该快捷指令可以攻击透明、同意和控制(TCC)系统中的漏洞，该系统旨在保护用户免受数据盗窃。通常，当应用或快捷指令尝试访问敏感信息或系统资源时，会出现TCC提示，但该漏洞绕过了此检查。

利用“Expand URL”功能的恶意快捷指令可以绕过TCC，并将照片、联系人、文件或剪贴板数据的Base64编码数据传输到网站。攻击者端的Flask程序将捕获并存储传输的数据，以备潜在的攻击。