知識星球據科技部落格AppleInsider北京時間9月25日報道,蘋果公司向全球使用者推送了最新macOS Mojave系統。但是,一位安全研究人員稱,新系統包含一個安全保護執行漏洞,可能會導致個人使用者資料洩露。安全公司Digita Security首席研究員帕克裡克·瓦德里(Patrick Wardle)對這個明顯漏洞進行了介紹。
他指出,該漏洞會允許一款無特殊許可權的應用繞過系統內建的系統級許可權,獲取特定應用的使用者資訊。瓦德里已披露了大量與蘋果相關的安全問題,最近的一個是熱門Mac應用Adware Doctor秘密記錄使用者資訊。
在今年6月舉行的全球開發者大會上,蘋果推出了一組增強版macOS安全功能,要求使用者向其他人使用選定的應用和硬體提供明確許可。具體來說,使用者需要就Mac攝像頭、麥克風、郵件歷史、訊息、Safari等資訊的訪問提供授權。
瓦德里向Twitter上傳了一段短影片(影片地址:https://player.youku.com/embed/XMzgzNjc2NDIzNg==),演示瞭如何繞過其中的至少一個保護機制。他先是利用終端嘗試訪問和複製聯絡人,結果失敗,這是在蘋果安全機制防護下的一個預料之中的結果。接著,瓦德里又運行了一個無特殊許可權的應用,名稱為“入侵Mojave”(breakMojave),尋找和訪問Mac的通訊錄。
在成功訪問後,瓦德里能夠執行一個目錄命令,檢視私人檔案夾裡的所有檔案,包括元資料和圖片。瓦德里在接受採訪時稱,這次演示並不是繞過增強後許可權的“通用方法”,但是可以用於在使用者登入macOS後獲取受保護的資料。就其本身而言,它不大可能對多數使用者造成重大問題,但是可能會在特定情況下引發麻煩。
他並未公佈這個漏洞的細節以保護公眾,但表示他演示這一漏洞為了吸引蘋果的註意,因為該公司並沒有為Mac設立漏洞獎勵機制。
蘋果在2016年推出了iOS漏洞獎勵計劃,對安全啟動韌體部分相關的漏洞最高獎勵20萬美元。不過,蘋果並未為Mac設立一個類似的獎勵機制。隨著這一漏洞的公開,蘋果肯定會詢問漏洞細節,併在下一個更新中打上補丁。
*來源:鳳凰網科技
更多資訊
◈ 騰訊安全工程師利用酒店 WiFi 漏洞訪問內部伺服器被罰 5000 美元
http://t.cn/EPiNUWV
◈ Cloudflare 支援加密 SNI
http://t.cn/EPiNqdG
◈ 微軟在每一臺 Windows 10 PC 上安裝膨脹軟體
http://t.cn/EPiNf2Z
◈ 知名雲端計算公司Zoho域名被禁兩小時:影響3000萬使用者
http://t.cn/EPiNJg5
(資訊來源於網路,安華金和蒐集整理)
