Сооснователь компании Digita Security Патрик Уордл (Patrick Wardle) сразу после выхода новой версии, 24 сентября, обнаружил в macOS Mojave 0-day-уязвимость, которая дает злоумышленникам доступ к конфиденциальным данным владельца устройства.
Об этом пишет Bleeping Computer.
Свежая версия macOS требует от пользователя выдачи каждому приложению отдельного разрешения на доступ к персональной информации, такой как геолокация, календари, напоминания, фото или адресная книга.
Уордл утверждает, что новые механизмы безопасности можно обойти. Для демонстрации уязвимости специалист разработал программу, которая копирует контакты пользователя без соответствующих разрешений на доступ к адресной книге. Он обратил внимание на отсутствие у Apple программы Bug Bounty для macOS.
Отмечается, что уязвимость не затрагивает аппаратные компоненты системы, такие как веб-камера или микрофон. Кроме того, ряд защитных функций ОС эксплойт обойти не смог. Подробную информацию о баге он пообещал раскрыть на конференции Mac Security, которая пройдет в ноябре на Гавайях.
Фото: Bleeping Computer
Mojave’s ‘dark mode’ is gorgeous ?…but its promises about improved privacy protections? kinda #FakeNews ?0day bypass:https://t.co/rRf8t7C7Zfbtw if anybody has a link to ?’s macOS bug bounty program I’d ? to report this & other 0days -donating any payouts to charity ?
— patrick wardle (@patrickwardle) 24 сентября 2018 г.
Ранее сообщалось, что большинство современных компьютеров оказались уязвимы перед атакой, нацеленной на кражу конфиденциальных данных.
5 сентября исследователи безопасности обнаружили новый IoT-ботнет Hakai, который тайно инфицирует маршрутизаторы преимущественно производства D-Link, Huawei и Realtek.
