Контакты
Подписка
МЕНЮ
Контакты
Подписка

Уязвимость в macOS предоставляет доступ к истории посещений в Safari

13/02/19

desertРазработчик приложений для Mac и iOS Джефф Джонсон (Jeff Johnson) обнаружил недостаток в реализации защиты конфиденциальности в macOS, которым могут воспользоваться злоумышленники для того, чтобы просмотреть папки с ограниченным доступом. Проблема затрагивает все версии macOS Mojave, включая 10.14.3 Supplemental Update, представленную 7 февраля.

В версии Mojave доступ к определенным папкам запрещен по умолчанию, например, к ~/Library/Safari. Операционная система предоставляет доступ к данной папке только нескольким приложениям, в частности, Finder. Однако Джонсону удалось обнаружить метод обхода защиты, который позволяет приложениям «заглянуть» в ~/Library/Safari без всяких разрешений от системы или пользователя и просмотреть историю посещений в браузере.

«Я использовал один API, название которого не буду раскрывать, и понял, что могу применить тот же API для чтения содержимого папок с ограниченным доступом. Так что обход совсем не сложный, просто нужны знания разработчика Mac», - отметил Джонсон. Более подробной информации о методе он не предоставил.

В минувшем году Джонсон сообщил об еще одной похожей уязвимости, которая затрагивала Automator – приложение для автоматизации операций на Мас. Данная проблема позволяла обойти защиту конфиденциальности в приложении Contacts («Контакты») и скопировать его содержимое в созданную папку. Кроме того, разработчик выявил еще ряд недочетов, включая проблему в реализации инструмента командной строки tccutil и возможность использовать другие приложения с предоставленными пользователем разрешениями для доступа к важным данным или локациям.

Apple устранила связанную с Automator уязвимость с выпуском версии macOS Mojave 10.14.3 Supplemental Update, однако остальные проблемы все еще остаются неисправленными.

Темы:AppleУгрозыmacOS

Еще темы...