Le chercheur en sécurité Patrick Wardle a révélé une nouvelle faille de sécurité dans la dernière version de macOS, Mojave, heures avant la version a été publiée. Le chercheur a montré la voie de contournement de fonction de la vie privée dans une vidéo partagée sur Twitter. Le but de la fonction de confidentialité d'origine est d'empêcher les applications d'accéder correctement des données personnelles de l'utilisateur.
Dans une conversation avec TechCrunch, le chercheur a déclaré que la vulnérabilité n'est pas un by-pass universel de la fonction, mais il pourrait encore permettre à une application malveillante d'accéder aux données d'utilisateur protégé, chaque fois que l'utilisateur est connecté à. Il convient de noter que Apple forcé des applications d'autorisation avant d'accéder aux contacts des utilisateurs et le calendrier après quelques applications iOS ont été pris le téléchargement des données utilisateur sensibles. Si, la société a élargi la fonctionnalité de confidentialité pour inclure des applications demandant l'autorisation d'accéder à l'appareil photo de l'appareil, microphone, e-mail et les sauvegardes, TechCrunch expliqué.
Qu'est-ce que la vidéo de Wardle Reveal?
Dans la vidéo,, le chercheur montre comment macOS d'abord rejette l'accès à ses contacts enregistrés. Cependant, après l'exécution d'un script qui imitait une non privilégié application malveillante, le système copié tous ses contacts sur le bureau.
Par souci pour la sécurité des utilisateurs, le chercheur n'a pas publié de plus amples détails sur la vulnérabilité.
Cependant, il a décidé de libérer sa vidéo simplement parce qu'il estime que l'absence d'Apple d'un programme de primes bug est un véritable obstacle pour le chercheur pour signaler des problèmes de sécurité. Selon les propres mots de Wardle, d'autres fournisseurs de systèmes d'exploitation ont reconnu qu'aucun logiciel est à l'abri de la vulnérabilité, mais Apple est «coller la tête dans le sable".
Pour être plus précis, Apple dis lancer un programme de primes de bogue 2 il y a des années, mais il n'a été fait pour les bugs iOS. D'autre part, Apple a été méconnaîtrait en permanence l'ouverture d'un bug programme de primes pour Mac OS, sans donner aucune raison particulière pour cette décision.
Curieusement, ce n'est pas la première fois Wardle publie des informations sur une faille de sécurité grave dans le logiciel d'Apple. Il y a environ un an, le chercheur a révélé un mot de passe exfiltration exploit de la même manière - le jour Apple a lancé macOS High Sierra.
Le chercheur devrait révéler plus sur le bug récemment découverte dans macOS Mojave lors de la conférence Objective-by-the-Sea en Novembre.
Mojave est le quinzième version majeure de macOS, et il a été annoncé lors de la WWDC 2018, en juin 4, 2018. Mojave a été libéré au public en Septembre 24, 2018.