Apple führte Spotlight mit Mac OS X 10.4 Tiger im April 2005 ein. Spotlight ist ein Indexierungsdienst, welcher im Hintergrund Dateien ausliest und lesbare Teile in einer durchsuchbaren Datenbank ablegt. So ist es möglich, dass der Nutzer einen Suchbegriff in Spotlight eingibt und daraufhin alle Dateien präsentiert bekommt, in welchen der Suchbegriff vorkommt. Dies funktioniert nicht nur mit trivialen Textdokumenten, sondern auch mit PDF-Dateien und sogar mit Dateiformaten von Drittherstellern, wenn diese entsprechende Spotlight-Komponenten mitliefern.


Das Sicherheitsteam von Microsoft machte nun aber einen schweren Sicherheitsmangel bezüglich Spotlight aus, denn Dritthersteller-Komponenten können den Dienst nutzen, um eine wichtige Sicherheitsbeschränkung von macOS auszuhebeln. Microsoft taufte die Lücke auf den Namen "SploitLight ", eine Wortschöpfung aus Exploit und Spotlight. Normalerweise verhindert "Transparency, Consent, and Control" (kurz TCC) den Zugriff auf besonders geschützte Ordner, wie zum Beispiel die Bilder-Bibliothek oder den Downloads-Ordner. Versucht eine App auf einen dieser Ordner zuzugreifen, unterbindet TCC die Anfrage und erkundigt sich beim Nutzer um Erlaubnis.

Spotlight hat unbeschränkt Zugriff
Spotlight und somit auch Dritthersteller-Komponenten für Spotlight unterliegen jedoch nicht den Beschränkungen von TCC – und genau hier fand Microsoft einen Sicherheitsmangel: Apple verhindert zwar, dass Spotlight-Komponenten andere Dateien als die gerade zu importierende lesen (oder schreiben) darf – doch Microsoft fand diverse andere Mechanismen, Informationen zu anderen Prozessen zu propagieren. Exemplarisch verwendete Microsoft einfach das Unified-Logging-System von macOS, um gelesene Daten zugänglich zu machen – komplett ohne Einverständnis des Nutzers. So konnte Microsoft die Bilder-Datenbank des Nutzers samt Standortdaten ohne Schwierigkeiten auslesen. Auch andere Zugriffe, wie zum Beispiel auf die Kontaktdaten, waren so wohl ohne große Schwierigkeiten möglich.

Starten einer App notwendig
Aus der Ferne lässt sich ein Mac jedoch nicht angreifen – der Nutzer muss eine App herunterladen und diese lokal ausführen. Mit besonderen Rechten muss die App jedoch nicht ausgeführt werden, um entsprechend präparierte Spotlight-Importer zu starten.

Fehlerbehebungen im März erschienen
Microsoft meldete den Fehler bei Apple – und der Konzern gab im März mit macOS 15.4 einen Fix heraus, welcher die Lücke schloss. Weder Microsoft noch Apple sind Fälle bekannt, in welchen der Sicherheitsmangel ausgenutzt wurde. Leider teilte Apple nicht mit, auf welche Weise die Lücke geschlossen wurde. Möglich ist, dass Apple weitere Kommunikationswege von Spotlight-Importern (wie zum Beispiel das Schreiben ins System-Protokoll) blockiert – oder Dritthersteller-Importern den Zugriff auf sensible Orte oder Dateitypen verweigert.