Security-onderzoeker Patrick Wardle heeft een nieuw beveiligingsprobleem in de laatste versie van MacOS onthuld, Mojave, uur voor de versie werd uitgebracht. De onderzoeker toonde de privacy functie bypass in een video gedeeld op Twitter. Het oorspronkelijke doel van de privacy functie is om te voorkomen dat apps van ten onrechte de toegang tot persoonlijke gegevens van de gebruiker.
In een gesprek met TechCrunch, de onderzoeker zei dat de kwetsbaarheid is geen universele bypass van de functie, maar het kan nog steeds een kwaadwillende app toegang tot beveiligde gebruikersgegevens, wanneer de gebruiker is ingelogd. het zou genoteerd moeten worden dat Apple gedwongen apps toestemming voorafgaand aan de toegang tot contacten van gebruikers en de agenda na een aantal iOS-apps werden gevangen uploaden van gevoelige gebruikersgegevens. Dus, breidde het bedrijf uit de privacy functie om apps onder meer om toestemming te vragen voor toegang tot de camera van het apparaat, microfoon, e-mail en back-ups, TechCrunch toegelicht.
Wat heb Wardle's Video Reveal?
In de video, de onderzoeker laat zien hoe MacOS eerst toegang tot zijn opgeslagen contacten te verwerpen. Echter, na het uitvoeren van een onbevoegde script dat een kwaadaardige app nagebootst, het systeem gekopieerd al zijn contacten met de desktop.
Uit bezorgdheid voor de veiligheid van de gebruikers, de onderzoeker heeft geen verdere details vrijgegeven over de kwetsbaarheid.
Niettemin, Hij besloot om zijn video vrij te geven omdat hij van mening is dat het ontbreken van een bug bounty programma van Apple is een echte hindernis voor onderzoekers om de veiligheid problemen te melden. In Wardle's eigen woorden, andere OS-leveranciers hebben erkend dat er geen software is veilig van kwetsbaarheid, maar Apple is “steekt zijn kop in het zand".
Om precies te zijn, Apple dis start een bug bounty programma over 2 jaar geleden, maar het was alleen bedoeld voor iOS bugs. Anderzijds, Apple is voortdurend negeren van de inleiding van een bug bounty programma voor MacOS, zonder opgaaf van bijzondere reden voor dat besluit.
Merkwaardig genoeg, dit is niet de eerste keer Wardle releases informatie over een ernstige lacune in de beveiliging in Apple-software. Ongeveer een jaar geleden de onderzoeker onthulde een wachtwoord exfiltratie exploiteren op een soortgelijke manier - op de dag lanceerde Apple MacOS High Sierra.
De onderzoeker moet meer weten over de nieuw ontdekte bug onthullen MacOS Mojave tijdens de Objective-by-the-Sea conferentie in november.
Mojave is de vijftiende major release van MacOS, en het werd aangekondigd op de WWDC 2018, in juni 4, 2018. Mojave werd vrijgegeven voor het publiek op september 24, 2018.