Een security-onderzoeker heeft ontdekt “een nieuw gat”In MacOS Mojave's privacybescherming. Het beveiligingslek bestaat in elke versie van Mojave, inclusief MacOS Mojave 10.14.3 Aanvullende bijwerken die werd uitgebracht in februari 7.
De privacy hole was ontdekt door een applicatie-ontwikkelaar Jeff Johnson in februari 8. De status van de kwetsbaarheid is momenteel ongepatchte. Alle versies van MacOS Mojave worden beïnvloed, zelfs de meest recente uitgebracht in februari 7 – Mojave 10.14.3 aanvullende-update.
MacOS Mojave Privacy Vulnerability Technische Resume
Kort gezegd, de nieuwste versie van MacOS Mojave heeft een bug die kan een kwaadwillende app toegang tot gegevens die zijn opgeslagen in beperkte mappen. Deze mappen kunnen niet worden geopend door elke app, Mojave biedt speciale toegang tot deze map voor slechts een geselecteerd aantal apps, zoals Finder.
"op Mojave, bepaalde mappen hebben toegang die verboden is standaard beperkt. Bijvoorbeeld, ~ / Library / Safari", de onderzoeker uitgelegd. In Terminal app, gebruikers zijn zelfs niet in staat om de inhoud van die map:
$ ls Library / Safari
ls: Safari: Operation not permitted
$ sudo ls Library / Safari
Wachtwoord:
ls: Safari: Operation not permitted
De onderzoeker ontdekte een manier om de bescherming in Mojave omzeilen en laat apps naar binnen te kijken ~ / Library / Safari zonder dat zij enige toestemming van het systeem of de gebruiker. Aangezien er geen toestemming dialogen, een kwaadaardige app kon stiekem schenden privacy van de gebruiker door te gaan door middel van hun web browsing geschiedenis.
Opgemerkt dient te worden Johnson's bypass werkt samen met de “geharde runtime” ingeschakeld.
Zo, een app met de mogelijkheid om bespioneren Safari zou kunnen zijn “notariële” door Apple (zolang het geslaagd voor hun geautomatiseerde malware controles, die ik vermoed zou er geen probleem zijn). Mijn bypass werkt niet met zandbak apps, voor zover ik kan zeggen, Johnson schreef.
Het is merkwaardig om op te merken dat de security-onderzoeker Patrick Wardle bekendgemaakt een soortgelijke [wplinkpreview url =”https://sensorstechforum.com/macos-mojave-privacy-feature-bypas-bug/”]privacy bypass in Mojave uur voor de versie werd uitgebracht.
De onderzoeker toonde de privacy functie bypass in een video gedeeld op Twitter. De onderzoeker liet zien hoe MacOS in eerste instantie toegang tot zijn opgeslagen contacten verwierp. Echter, na het uitvoeren van een onbevoegde script dat een kwaadaardige app nagebootst, het systeem gekopieerd al zijn contacten met de desktop.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: