В macOS Mojave присутствует «уязвимость нулевого дня»

По словам исследователя системы безопасности из Digital Security Патрика Уордла, в Mojave присутствует ошибка в системе защиты, которая потенциально может подвергнуть опасности персональные данные пользователей.

Описанный Патриком недостаток позволяет программам обходить встроенные средства защиты на системном уровне и предоставлять информацию пользователей без разрешения сторонним приложениям.

Apple в ходе WWDC 2018 в июне представила расширенные возможности системы безопасности в macOS, которые требуют от пользователей предоставления подробных разрешений на использование приложений и оборудования. В частности, владельцам Mac необходимо разрешить доступ к камере, микрофону, почте, сообщениям, Safari, Time Machine и резервным копиям iTunes, местоположениям, и системным файлам cookie при запуске macOS Mojave.

В коротком видео, загруженном в twitter, Уордл демонстрирует обход одной из этих мер защиты. Ролик показывает сначала неудачную попытку доступа и копирования контактов через терминал, что ожидаемо в соответствии с мерами безопасности Apple. Затем Патрик запускает стороннее приложение, названное «breakMojave» («сломатьMojave»), чтобы получить доступ к адресной книге Mac. 

Уордл также сообщил, что эксплойт не является универсальным способом обхода системы безопасности, но отметил, что процедура может быть использована для доступа к защищенным данным, когда пользователь входит в систему macOS. Таким образом, недостаток вряд ли станет серьезной проблемой для большинства владельцев Mac, но может доставить неудобства в определенных ситуациях. 

Патрик не сливал способ обхода защиты в сеть, а написал письмо в Apple с описанием уязвимости. Несомненно, теперь, когда проблема определена, компания из Купертино уточнит все детали и в скором обновлении выпустит патч с исправлениями.