一名应用程序开发人员发现,macOS 最新版本中存在一个漏洞,可导致恶意应用程序访问受限制的 Safari 数据。
去年,苹果公司在 10.14 Mojave 版本中增加了保护隐私的新功能,但 Mac 应用程序开发人员 Jeff Johnson 表示该平台在保护用户方面实际上较之前并无实际提升。他指出,问题在于 macOS Mojave 仅允许某些应用程序访问某些文件夹,但实际上应用程序无需从用户或系统获取权限就能绕过这种保护措施。
该问题影响所有的 Mojave 版本,包括在2月7日发布的 macOS Mojave 10.14.3 追加更新版本。
具有受限访问权限的其中一个文件夹是 ~/Library/Safari。只有一些应用能够访问该文件夹如 Finder,而用户甚至无法使用 Terminal 列出该文件夹的内容。
他指出,“这样,能够监控 Safari 的应用程序可得到苹果的‘公证’(只要它能通过自动恶意软件检测即可,但我认为做到没有问题)。我的绕过并不适用于沙箱应用。”
任何能够绕过保护措施并窥探所述文件夹的应用都能审查用户的 web 浏览历史,从而侵犯了他们的隐私安全。
虽然开发人员提到 ~/Library/Safari 是受影响的受限制文件夹,但该问题可能也影响其它文件夹。
然而,Johnson 并非唯一一个发现绕过 macOS Mojave 限制的研究员。实际上,像安全数据科学家 Bob Rudis 上周在推特中说明的那样,绕过这些新的安全功能可能并不难。
Johnson 表示上周将问题告知苹果,在提交漏洞报告后已收到苹果公司的自动感谢回复。
Johnson 指出,“Mojave 隐私保护措施是 macOS 10.14 推出的一个新功能。隐私保护措施中的任何弱点是新功能中的一个缺陷。Mojave 和不具备该功能的High Sierra 一样安全。实际上你在 Mojave 上受到的保护还不如 High Sierra。”
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/124045.html