O pesquisador de segurança Patrick Wardle revelou uma nova vulnerabilidade de segurança na mais recente versão do MacOS, Mojave, horas antes da versão foi lançada. O pesquisador mostrou o desvio recurso de privacidade em um vídeo compartilhado no Twitter. O objetivo original do recurso de privacidade é impedir que aplicativos acessem indevidamente os dados pessoais do usuário.
Em uma conversa com TechCrunch, o pesquisador disse que a vulnerabilidade não é um desvio universal do recurso, mas ainda pode permitir que um aplicativo malicioso acesse dados protegidos do usuário, sempre que o usuário estiver logado. Note-se que Aplicativos forçados da Apple para permissão antes de acessar os contatos dos usuários e calendário depois que alguns aplicativos iOS foram pegos carregando dados confidenciais do usuário. assim, a empresa expandiu o recurso de privacidade para incluir aplicativos pedindo permissão para acessar a câmera do dispositivo, microfone, e-mail e backups, TechCrunch explicado.
O que o vídeo de Wardle revelou?
No vídeo, o pesquisador mostra como o macOS inicialmente está rejeitando o acesso aos seus contatos armazenados. Contudo, depois de executar um script sem privilégios que imitava um aplicativo malicioso, o sistema copiou todos os seus contatos para a área de trabalho.
Por preocupação com a segurança dos usuários, o pesquisador não divulgou mais detalhes sobre a vulnerabilidade.
Não obstante, ele decidiu lançar seu vídeo simplesmente porque sente que a falta de um programa de recompensas de bugs da Apple é um obstáculo real para o pesquisador relatar problemas de segurança. Nas palavras de Wardle, outros fornecedores de SO reconheceram que nenhum software está a salvo de vulnerabilidades, mas a Apple está “enfiando a cabeça na areia”.
Para ser mais preciso, Apple dis inicia um programa de recompensas de bugs sobre 2 anos atrás, mas era apenas para bugs do iOS. Por outro lado, A Apple tem continuamente desconsiderado o início de um programa de recompensas de bugs para o macOS, sem dar qualquer razão particular para essa decisão.
Suficientemente curioso, esta não é a primeira vez que Wardle divulga informações sobre uma séria brecha de segurança no software da Apple. Cerca de um ano atrás, o pesquisador revelou uma exploração de exfiltração de senha de maneira semelhante – no dia em que a Apple lançou o macOS High Sierra.
O pesquisador deve revelar mais sobre o bug recém-descoberto em MacOS Mojave durante a conferência Objective-by-the-Sea em novembro.
Mojave é a décima quinta versão principal do macOS, e foi anunciado na WWDC 2018, em Junho 4, 2018. Mojave foi lançado ao público em setembro 24, 2018.