macOS VoiceOver漏洞可被濫用於繞過隱私控管 Apple已更新修補

資安研究人員 Mickey Jin 揭露了一個 macOS VoiceOver 漏洞，該漏洞被編號為 CVE-2025-43530，影響了 ScreenReader.framework 這個內建螢幕閱讀器相關的私有框架。研究指出，VoiceOver 中的判斷邏輯存在瑕疵，這可能讓一般應用程式在不應該取得高權限的情況下獲得跨程序自動化的能力，進而繞過 Apple TCC（Transparency、Consent、Control）隱私授權控管。

根據 Apple 的安全性內容文件，CVE-2025-43530 已在多個 macOS 和 iOS 版本中完成修補。具體來說，macOS Tahoe 26.2、macOS Sequoia 15.7.3、macOS Sonoma 14.8.3 以及 iOS 18.7.3 和 iPadOS 18.7.3 都已進行了必要的更新。在 macOS 端，此漏洞被歸類於 VoiceOver 項目下，影響描述為應用程式可能存取敏感使用者資料，並通過改進檢查方式來修補問題。而在 iOS 和 iPadOS 端，同一 CVE 則被列入設定項目下，同樣的修補方法是改進檢查。

研究人員特別關注名為 com.apple.scrod 的系統服務。該服務為 VoiceOver 相關元件提供的 MIG Mach 服務，在登入視窗或使用者登陸後自動啟動對應的 scrod 程序。由於 scrod 包含了多項敏感的 TCC 權限宣告，包括 AppleEvents 等可用於進行跨程序自動化互動的能力，因此其對外介面的可信任判斷流程直接影響著整體安全邊界的強度。

研究人員指出，服務端在判斷呼叫端是否可信任時存在漏洞。原始實作中，在確定呼叫端身分時可能退回到通過程序路徑取得靜態簽署資訊的方式，並將呼叫端視為由 Apple 簽署的可信任方，而未能全程以稽核權杖驗證呼叫端的當前連線狀態。這意味著，攻擊者可能會藉此漏洞執行任意 AppleScript 檔案，並向目標程序發送 AppleEvents。

由於 TCC 原本就是用來限制跨程序自動化互動的隱私控管機制，當具有較高權限的系統服務被誤用時，就可能形成繞過使用者授權流程的安全缺口。為此，macOS 26.2 版本修補方向是改為要求呼叫端具備 com.apple.private.accessibility.scrod entitlement，並通過稽核權杖驗證其身分，以避免走回靜態簽署檢查的方式，降低 TOCTOU 類型繞過的風險。