Luka w nowym systemie macOS Mojave

Użytkownicy platformy macOS dopiero zaczynają instalowanie nowej wersji systemu, która oficjalnie pojawiła się kilka dni temu, a już znaleziono lukę typu 0-day umożliwiającą ominięcie ustawień prywatności.

Luka została znaleziona przez Patricka Wardle’a, jednego z założycieli Digita Security. W poniedziałek napisał on na Twitterze, że „Nowy tryb ciemny (Dark mode) jest świetny, ale  obietnice o ulepszonych opcjach prywatności nie są do końca prawdziwe…”

Apple w nowej wersji systemu duży nacisk położyło na dbaniu o prywatność i bezpieczeństwo użytkowników. Ustawienia wymagają by aplikacje otrzymały wyraźną zgodę użytkownika do takich newralgicznych danych jak lokalizacja, kontakty, kalendarze, zdjęcia itp. Jak podaje serwis Bleeping Computer[1], w ten sposób udaremnia się ataki, w których szkodliwe oprogramowanie symuluje działanie człowieka by uzyskać dostęp do danych. System Mojave wymaga od użytkownika rzeczywistej reakcji na pojawiający się monit, zanim aplikacja uzyska dostęp do informacji.

Wykorzystanie luki w praktyce jest widoczne na poniższym filmie:

Techniczne szczegóły autor zachował dla siebie, ale zapowiedział, że planuje je ujawnić na nadchodzącej w listopadzie konferencji Mac Security. Pozostaje mieć nadzieję, że do tego czasu luka zostanie załatana.

[1]https://www.bleepingcomputer.com/news/security/macos-mojave-privacy-bypass-flaw-allows-access-to-protected-files/