El investigador de seguridad Patrick Wardle ha revelado una nueva vulnerabilidad de seguridad en la versión más reciente de macOS, Mojave, horas antes de la versión fue puesto en libertad. El investigador mostró la función de privacidad de derivación en un vídeo compartido en Twitter. El propósito original de la función de privacidad es evitar que las aplicaciones accedan a incorrectamente los datos personales del usuario.
En una conversación con TechCrunch, el investigador dijo que la vulnerabilidad no es una derivación universal de la función, pero todavía podría permitir una aplicación maliciosa para acceder a los datos de usuario protegida, cada vez que el usuario ha iniciado sesión. se debe notar que Manzana forzado aplicaciones de permiso antes de acceder a los contactos de los usuarios y el calendario después de algunas aplicaciones de iOS fueron capturados la carga de datos de usuario sensibles. Así, la empresa amplió la función de privacidad para incluir aplicaciones pidiendo permiso para acceder a la cámara del dispositivo, micrófono, correo electrónico y copias de seguridad, TechCrunch explicado.
¿Qué hizo Vídeo de Wardle Reveal?
En el video, el investigador muestra cómo macOS en un primer momento está rechazando el acceso a sus contactos almacenados. Sin embargo, después de ejecutar un script sin privilegios que imitaba una aplicación maliciosa, el sistema de copiado todos sus contactos en el escritorio.
Debido a la preocupación por la seguridad de los usuarios, el investigador no ha dado a conocer más detalles sobre la vulnerabilidad.
No obstante, decidió lanzar su video simplemente porque siente que la falta de un programa de recompensas de errores de Apple es un verdadero obstáculo para el investigador para informar de los problemas de seguridad. En palabras del propio Wardle, otros proveedores de sistemas operativos han reconocido que ningún software está a salvo de la vulnerabilidad pero Apple es “se pega la cabeza en la arena".
Ser más preciso, dis manzana comienzan un programa de recompensas de errores acerca 2 Hace años, pero sólo era para iOS errores. Por otra parte, Apple ha estado haciendo caso omiso de forma continua la iniciación de un programa de recompensas de errores para MacOS, sin dar ninguna razón particular para que la decisión.
Curiosamente, esta no es la primera vez Wardle libera información sobre un agujero de seguridad grave en el software de Apple. Hace aproximadamente un año, el investigador reveló una exfiltración contraseña explotar de una manera similar - en el día que Apple lanzó macOS High Sierra.
El investigador debe revelar más acerca del fallo recién descubierto en macOS Mojave durante la rueda de Objective-by-the-Sea en noviembre.
Mojave es la versión principal del XV macOS, y se anunció en la WWDC 2018, en Junio 4, 2018. Mojave fue lanzado al público de septiembre 24, 2018.