Sikkerhed forsker Patrick Wardle har afsløret en ny sikkerhedsbrist i den nyeste version af MacOS, Mojave, timer før den version blev frigivet. Forskeren viste funktionen privatliv bypass i en video delt på Twitter. Det oprindelige formål med funktionen privatliv er at forhindre apps fra forkert at få adgang til brugerens personlige data.
I en samtale med TechCrunch, forskeren sagde, at sårbarheden er ikke en universel bypass af funktion, men det kunne stadig give en ondsindet app til at få adgang til beskyttede brugerdata, når brugeren er logget ind. Det skal bemærkes, at Apple tvunget apps til tilladelse forud for at få adgang til brugernes kontaktpersoner og kalender efter nogle iOS apps blev fanget uploade følsomme brugerdata. Så, virksomheden udvidet funktion privatliv til at omfatte apps beder om tilladelse til at få adgang til enhedens kamera, mikrofon, e-mail og backup, TechCrunch forklarede.
Hvad gjorde Wardle s Video Reveal?
I videoen, forskeren viser, hvordan MacOS på første afviser adgang til sine gemte kontakter. Men, efter at have kørt en priviligeret script, der efterlignede en ondsindet app, systemet kopieret alle sine kontakter til skrivebordet.
Af bekymring for brugernes sikkerhed, forskeren har ikke udgivet yderligere detaljer om sårbarheden.
Ikke desto mindre, han besluttet at frigive hans video, simpelthen fordi han føler, at Apples mangel på en bug bounty program er en reel hindring for forskeren at rapportere sikkerhedsproblemer. I Wardle egne ord, andre OS leverandører har erkendt, at ingen software er sikkert fra sårbarhed, men Apple er ”stikker hovedet i sandet".
For at være mere præcis, Apple dis starte en bug bounty program om 2 år siden, men det var kun beregnet til iOS bugs. På den anden side, Apple har været uafbrudt ses bort indledningen af en bug bounty program til MacOS, uden at give nogen særlig grund til, at afgørelsen.
Mærkeligt nok, dette er ikke første gang Wardle frigiver oplysninger om en alvorlig sikkerhed smuthul i Apple-software. Omkring et år siden forskeren afslørede en adgangskode udsivning udnytte på en lignende måde - på den dag Apple lancerede MacOS High Sierra.
Forskeren bør afsløre mere om den nyopdagede fejl i MacOS Mojave under mål-by-the-Sea konferencen i november.
Mojave er den femtende større version af MacOS, og det blev annonceret på WWDC 2018, juni 4, 2018. Mojave blev frigivet til offentligheden på September 24, 2018.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: