Użytkownicy platformy macOS dopiero zaczynają instalowanie nowej wersji systemu, która oficjalnie pojawiła się kilka dni temu, a już znaleziono lukę typu 0-day umożliwiającą ominięcie ustawień prywatności.
Luka została znaleziona przez Patricka Wardle’a, jednego z założycieli Digita Security. W poniedziałek napisał on na Twitterze, że „Nowy tryb ciemny (Dark mode) jest świetny, ale obietnice o ulepszonych opcjach prywatności nie są do końca prawdziwe…”
Mojave's 'dark mode' is gorgeous 🙌
…but its promises about improved privacy protections? kinda #FakeNews 😥0day bypass:https://t.co/rRf8t7C7Zf
btw if anybody has a link to 🍎's macOS bug bounty program I'd 💕 to report this & other 0days -donating any payouts to charity 🙏
— patrick wardle (@patrickwardle) September 24, 2018
Apple w nowej wersji systemu duży nacisk położyło na dbaniu o prywatność i bezpieczeństwo użytkowników. Ustawienia wymagają by aplikacje otrzymały wyraźną zgodę użytkownika do takich newralgicznych danych jak lokalizacja, kontakty, kalendarze, zdjęcia itp. Jak podaje serwis Bleeping Computer[1], w ten sposób udaremnia się ataki, w których szkodliwe oprogramowanie symuluje działanie człowieka by uzyskać dostęp do danych. System Mojave wymaga od użytkownika rzeczywistej reakcji na pojawiający się monit, zanim aplikacja uzyska dostęp do informacji.
Wykorzystanie luki w praktyce jest widoczne na poniższym filmie:
Techniczne szczegóły autor zachował dla siebie, ale zapowiedział, że planuje je ujawnić na nadchodzącej w listopadzie konferencji Mac Security. Pozostaje mieć nadzieję, że do tego czasu luka zostanie załatana.
[1]https://www.bleepingcomputer.com/news/security/macos-mojave-privacy-bypass-flaw-allows-access-to-protected-files/