En sikkerhedsekspert har opdaget ”et nyt hul”I MacOS Mojave s beskyttelse af personlige oplysninger. Sårbarheden findes i alle versioner af Mojave, herunder MacOS Mojave 10.14.3 Supplerende opdatering som blev udgivet februar 7.
Hullet privatliv var opdaget af en ansøgning udvikler Jeff Johnson februar 8. Status for sårbarhed er i øjeblikket unpatched. Alle versioner af MacOS Mojave påvirkes, selv den seneste udgivet februar 7 – Mojave 10.14.3 Supplerende opdatering.
MacOS Mojave Privacy Sårbarhed Teknisk Genoptag
Kort sagt, den nyeste version af MacOS Mojave har en fejl, der kunne give en ondsindet app til at få adgang til data, der er lagret i begrænsede mapper. Disse mapper kan ikke tilgås af hver app, Mojave giver særlig adgang til denne mappe for kun et udvalgt antal apps, såsom Finder.
"på Mojave, bestemte mapper være begrænset adgang, der er forbudt som standard. For eksempel, ~ / Library / Safari", forskeren forklarede. I Terminal app, brugere er ikke engang i stand til at vise indholdet af denne mappe:
$ ls Bibliotek / Safari
ls: Safari: Handling ikke tilladt
$ sudo ls Bibliotek / Safari
Adgangskode:
ls: Safari: Handling ikke tilladt
Forskeren opdaget en måde at omgå den beskyttelse i Mojave og tillade apps at se inde ~ / Library / Safari uden at erhverve en tilladelse fra systemet eller fra brugeren. Da der ikke er nogen tilladelse dialoger, en ondsindet app kunne hemmeligt krænke brugerens privatliv ved at gå gennem deres web browsing historie.
Det skal bemærkes Johnsons bypass arbejder med “hærdet runtime” aktiveret.
Således, en app med evnen til at udspionere Safari kunne være “notarized” af Apple (så længe det passerede deres automatiserede malware kontrol, som jeg formoder ville være noget problem). Min bypass virker ikke med sandboxed apps, så vidt jeg kan fortælle, Johnson skrev.
Det er underligt at bemærke, at sikkerhed forsker Patrick Wardle beskrev en lignende [wplinkpreview url =”https://sensorstechforum.com/macos-mojave-privacy-feature-bypas-bug/”]privatliv bypass i Mojave timer før version blev frigivet.
Forskeren viste funktionen privatliv bypass i en video delt på Twitter. Forskeren viste, hvordan MacOS Først var afvise adgang til sine gemte kontakter. Men, efter at have kørt en priviligeret script, der efterlignede en ondsindet app, systemet kopieret alle sine kontakter til skrivebordet.