Un ricercatore di sicurezza ha scoperto “un nuovo foro”A tutela della privacy di MacOS Mojave. La vulnerabilità esiste in ogni versione di Mojave, compreso MacOS Mojave 10.14.3 Aggiornamento supplementare che è stato rilasciato nel febbraio 7.
Il buco era privacy scoperto da uno sviluppatore di applicazioni Jeff Johnson febbraio 8. Lo stato della vulnerabilità è attualmente senza patch. Tutte le versioni di MacOS Mojave sono colpiti, anche il più recente rilasciato nel febbraio 7 – Mojave 10.14.3 aggiornamento supplementare.
MacOS Mojave sulla vulnerabilità Riprendi tecnico
Poco detto, l'ultima versione di MacOS Mojave ha un bug che potrebbe consentire un'applicazione dannosa per accedere ai dati memorizzati nelle cartelle ristretti. Queste cartelle non sono accessibili da tutte le app, Mojave offre accesso speciale a questa cartella solo per un numero selezionato di applicazioni, come ad esempio Finder.
"su Mojave, determinate cartelle con accesso limitato che è proibito per default. Per esempio, ~ / Library / Safari", il ricercatore spiegato. In Terminal app, gli utenti non sono nemmeno in grado di elencare il contenuto di tale cartella:
$ ls Library / Safari
LS: Safari: operazione non permessa
$ sudo ls Library / Safari
parola d'ordine:
LS: Safari: operazione non permessa
Il ricercatore ha scoperto un modo per bypassare le protezioni a Mojave e permettono applicazioni per guardare dentro ~ / Library / Safari senza acquisire alcuna autorizzazione dal sistema o da parte dell'utente. Poiché non ci sono dialoghi autorizzazione, un'applicazione malintenzionato potrebbe segretamente violare la privacy dell'utente passando attraverso la loro cronologia di navigazione web.
Va notato tangenziale di Johnson funziona con il “runtime indurito” abilitato.
Così, un app con la possibilità di spiare Safari potrebbe essere “autenticata” da Apple (fintanto che passava loro controlli automatici di malware, che ho il sospetto sarebbe nessun problema). Il mio bypass non funziona con le applicazioni in modalità sandbox, per quanto posso dire, Johnson ha scritto.
E 'curioso notare che la sicurezza ricercatore Patrick Wardle divulgato un simile [wplinkpreview url =”https://sensorstechforum.com/macos-mojave-privacy-feature-bypas-bug/”]privacy by-pass ore Mojave prima che la versione è stata rilasciata.
Il ricercatore ha mostrato il bypass funzione di privacy in un video condiviso su Twitter. Il ricercatore ha mostrato come MacOS in un primo momento rifiutava l'accesso ai suoi contatti memorizzati. Tuttavia, dopo l'esecuzione di uno script non privilegiato che ha imitato un'applicazione dannosa, il sistema copiato tutti i suoi contatti al desktop.