Un investigador de seguridad ha descubierto “un nuevo agujero”En la protección de la privacidad de macOS Mojave. La vulnerabilidad en todas las versiones de Mojave, incluyendo macOS Mojave 10.14.3 Actualización suplementario que fue lanzado de febrero 7.
El agujero de la privacidad era descubierto por un desarrollador de aplicaciones Jeff Johnson de febrero 8. El estado de la vulnerabilidad sin parchear es actualmente. Todas las versiones de macOS de Mojave se ven afectados, incluso el más reciente lanzado de febrero 7 – Mojave 10.14.3 actualización suplementario.
MacOS Mojave vulnerabilidad de privacidad Reanudar Técnica
Poco dicho, la última versión del macOS Mojave tiene un error que podría permitir a una aplicación maliciosa para acceder a los datos almacenados en las carpetas restringidas. Estas carpetas no se puede acceder a todas las aplicaciones, Mojave proporciona un acceso especial a esta carpeta sólo para un número seleccionado de aplicaciones, tales como Buscador.
"en Mojave, ciertas carpetas han restringido el acceso que está prohibido por defecto. Por ejemplo, ~ / Library / Safari", el investigador explicó. En aplicación Terminal, los usuarios no son aún capaces de mostrar el contenido de esa carpeta:
$ ls Library / Safari
ls: Safari: operación no permitida
$ sudo ls Library / Safari
Contraseña:
ls: Safari: operación no permitida
El investigador descubrió una manera de saltarse las protecciones en Mojave y permitir que las aplicaciones se ven dentro de ~ / Library / Safari sin adquirir ningún permiso del sistema o del usuario. Puesto que no hay diálogos de permisos, una aplicación maliciosa podría violar en secreto la privacidad del usuario, vaya a través de su historial de navegación web.
Cabe señalar derivación de Johnson trabaja con el “tiempo de ejecución endurecido” habilitado.
Por lo tanto, una aplicación con la capacidad de espiar a Safari podría ser “notarial” por Apple (siempre que pasó sus cheques automatizada de malware, y sospecho que sería ningún problema). Mi derivación no funciona con aplicaciones de espacio aislado, Por lo que yo puedo decir, Johnson escribió.
Es curioso notar que el investigador de seguridad Patrick Wardle a conocer un similares [wplinkpreview url =”https://sensorstechforum.com/macos-mojave-privacy-feature-bypas-bug/”]de derivación privacidad en Mojave horas antes de la versión fue lanzada.
El investigador mostró la función de privacidad de derivación en un vídeo compartido en Twitter. El investigador mostró cómo macOS en un primer momento estaba rechazando el acceso a sus contactos almacenados. Sin embargo, después de ejecutar un script sin privilegios que imitaba una aplicación maliciosa, el sistema de copiado todos sus contactos en el escritorio.