La falla Sploitlight de macOS expone los datos almacenados en caché de Apple Intelligence a los atacantes

Una vulnerabilidad de macOS recientemente descubierta permite a los atacantes eludir los controles de privacidad de Apple y acceder a datos confidenciales de los usuarios, incluyendo archivos almacenados en caché por Apple Intelligence . Identificada como CVE-2025-31199, la falla fue identificada por Microsoft Threat Intelligence e implica un método que abusa de los complementos de Spotlight para filtrar archivos protegidos.

Microsoft Threat Intelligence, que detectó originalmente la vulnerabilidad, reveló el fallo y denominó el exploit "Sploitlight" debido a su uso indebido de los complementos de Spotlight. Si bien Apple ya ha publicado un parche, el método técnico detrás del exploit debería ser preocupante para los usuarios de macOS, especialmente para quienes usan las últimas funciones de Apple basadas en IA.

Todo comienza con la forma en que Spotlight , la herramienta de búsqueda integrada de macOS, gestiona los plugins conocidos como importadores. Estos están diseñados para ayudar a indexar contenido de aplicaciones específicas como Outlook o Fotos.

Los investigadores de Microsoft descubrieron que los atacantes podían modificar estos importadores para escanear y filtrar datos confidenciales de ubicaciones protegidas por TCC, como Descargas e Imágenes, incluso sin el permiso del usuario. ¿El truco? Registrar el contenido de los archivos en fragmentos a través del registro del sistema y luego recuperarlos discretamente.

Sin embargo, según la publicación del blog de la compañía, la situación es aún peor. Apple Intelligence, instalado por defecto en todos los Mac con ARM, almacena cachés con datos de geolocalización, metadatos de fotos y vídeos, rostros reconocidos e incluso el historial de búsqueda.

Esta información, protegida por las reglasTCC (Transparencia, Consentimiento y Control), suele estar fuera del alcance de las aplicaciones sin el consentimiento del usuario. Sin embargo, con Sploitlight, los atacantes pueden extraer estos datos directamente de las cachés, evadiendo por completo los mecanismos de consentimiento del sistema.

La prueba de concepto de Microsoft muestra un proceso claro y detallado que los atacantes podrían usar para explotar la vulnerabilidad. Al modificar los metadatos de un complemento de Spotlight, colocarlo en un directorio específico y activar un análisis, los atacantes pueden acceder a carpetas confidenciales sin solicitar acceso. Y como estos complementos no necesitan firmarse, no es necesario compilarlos. Basta con modificar un archivo de texto.

El parche de Apple, publicado en marzo de 2025 para macOS Sequoia, soluciona esta falla. Microsoft agradeció al equipo de seguridad de Apple por su cooperación en virtud de la Divulgación Coordinada de Vulnerabilidades e instó a los usuarios a instalar las actualizaciones sin demora.

El impacto va más allá de la mecánica del exploit y afecta a los datos reales del usuario. Dado que los metadatos y la información de reconocimiento facial se sincronizan entre dispositivos Apple a través de iCloud , los atacantes que exploten una sola Mac también podrían obtener información indirecta sobre los iPhones o iPads vinculados a la misma cuenta.

Esta no es la primera evasión de TCC con la que Apple se ha enfrentado. Ejemplos anteriores, como powerdir y HM-Surf, dependían de diferentes componentes del sistema, pero el uso de importadores de Spotlight por parte de Sploitlight hace que el ataque sea sutil y efectivo. Desdibuja la línea entre los componentes confiables del sistema operativo y lo que puede inyectarse desde fuentes controladas por el usuario.

Si usa una Mac, especialmente una con las funciones de Apple Intelligence activas, asegúrese de que su sistema esté actualizado. La corrección para CVE-2025-31199 ya está disponible, y su aplicación impide esta forma tan específica de robo de datos.