Sicurezza ricercatore Patrick Wardle ha rivelato una nuova vulnerabilità di sicurezza nella sua ultima versione di MacOS, Mojave, ore prima versione è stata rilasciata. Il ricercatore ha mostrato il bypass funzione di privacy in un video condiviso su Twitter. Lo scopo originario della funzione di privacy è quello di evitare che le applicazioni di accedere in modo improprio i dati personali dell'utente.
In una conversazione con TechCrunch, il ricercatore ha detto che la vulnerabilità non è un by-pass universale della funzione, ma potrebbe ancora consentire un'applicazione dannosa per accedere ai dati dell'utente protetti, ogni volta che l'utente è entrato. Si dovrebbe notare che Apple ha costretto applicazioni per il permesso prima di accedere contatti degli utenti e il calendario, dopo alcune applicazioni iOS sono stati catturati il caricamento di dati sensibili degli utenti. Così, la società ha ampliato la funzione di privacy per includere applicazioni chiedere il permesso di accedere alla fotocamera del dispositivo, microfono, e-mail e backup, TechCrunch ha spiegato.
Che cosa ha fatto di video Wardle Reveal?
Nel video, il ricercatore mostra come MacOS in un primo momento rifiuta l'accesso ai suoi contatti memorizzati. Tuttavia, dopo l'esecuzione di uno script non privilegiato che ha imitato un'applicazione dannosa, il sistema copiato tutti i suoi contatti al desktop.
Fuori di preoccupazione per la sicurezza degli utenti, il ricercatore non ha rilasciato ulteriori dettagli sulla vulnerabilità.
Ciò nonostante, ha deciso di rilasciare il suo video semplicemente perché sente che la mancanza di un programma bug bounty di Apple è un vero ostacolo per ricercatore per segnalare problemi di sicurezza. Nelle parole di Wardle, altri produttori di sistemi operativi hanno riconosciuto che nessun software è al sicuro da vulnerabilità ma Apple è “cacciare la testa nella sabbia".
Per essere più precisi, DIS di Apple avvia un programma bug bounty su 2 anni fa, ma è stato concepito solo per iOS bug. D'altronde, Apple è stata trascurando continuamente l'avvio di un programma di bounty bug per MacOS, senza dare alcuna ragione particolare per questa decisione.
Curiosamente, questa non è la prima volta che Wardle rilascia informazioni su una grave lacuna di sicurezza nel software di Apple. Circa un anno fa il ricercatore ha rivelato un'exfiltration password di sfruttare in modo simile - il giorno Apple ha lanciato MacOS High Sierra.
Il ricercatore dovrebbe rivelare di più sul bug recentemente scoperto in Macos Mojave durante la conferenza Objective-by-the-Sea a novembre.
Mojave è il major release quindicesimo MacOS, ed è stato annunciato al WWDC 2018, a giugno 4, 2018. Mojave è stato rilasciato al pubblico nel settembre 24, 2018.