◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
2月7日发布的10.14.3版本Mac系统中的隐私保护漏洞,可能允许潜在的攻击者绕过保护机制直接访问存储在所有macOS Mojave版本的受限文件夹中的数据。
Mac和iOS开发人员Jeff Johnson于2月8日发现了这一漏洞 ,周六上午,他向苹果产品安全部发送Bug报告后收到了自动回复,截止2月11日官方还未正式回复。
Jeff Johnson说:“Mojave仅为少数应用程序(如Finder)提供对此文件夹的特殊访问权限。但是,我发现了一种在Mojave中绕过这些保护的方法,从而允许应用程序查看〜/Library/Safari,而无需获得系统或用户的任何许可,没有权限对话框也能直接访问。通过这种方式,恶意软件应用程序可以通过检查其Web浏览历史来秘密地侵犯用户的隐私。
值得一提的是,尽管Mojave的隐私保护机制试图适用于任何沙箱应用程序,但这种隐私保护绕过的方法不能使用恶意的沙箱应用程序,而只能使用非沙箱应用程序或经过公证的应用程序。
在接受BleepingComputer采访时,开发人员表示,“我在使用自己的应用程序时发现了这个Bug。我使用了一个特定的API,而且我发现可以使用该API阅读受限制的文件夹。所以旁路并不复杂,只需要Mac开发人员的知识储备。”
虽然也可以通过SSH访问localhost来访问Mac上的受限文件夹以列出文件夹(详见 boB Rudis 的推文),Johnson告诉媒体,他发现的漏洞利用方式与此不同。
Johnson还表示,此次隐私保护问题并不像SSH旁路那么常见,要想成功利用Bug还有一些限制条件。此外,虽然可以通过禁用系统偏好设置中的远程登录来停止SSH旁路,但Johnson发现的旁路漏洞无法以这种方式停止。当被问及他发现的Bug是否会影响系统上的所有限制文件夹时,他指出,“我发现的一个特别的隐私违规是能够阅读Safari浏览历史记录。虽然暂时没有发现有人恶意利用这种违规方式,但这仍然是其他可以侵犯用户隐私的潜在方法。”
macOS Mojave中的其他缺陷
这已经不是开发人员第一次在苹果的macOS Mojave中发现绕过隐私保护的漏洞了。去年9月26日,Johnson发现了另一个与Automator相关的应用的漏洞(11月macOS 10.14.1发布后被披露)。
更具体地说,位于/ usr / bin / automator的命令行版本的Automator可能已被用于绕过Contacts应用程序中的隐私保护并将其内容复制到自定义文件夹。在相关帖子中,他还提到了/ usr / bin / tccutil工具实现中存在的隐私问题,以及将用户以前被授予访问敏感数据或位置权限的其他应用程序捆绑在一起的可能性。
Automator问题由Apple在2月7日发布macOS Mojave 10.14.3补充更新时修复,但其他两个仍未修补。此外,Johnson仍在等待苹果公司的回应。
上周,安全研究人员Linus Henze还演示了一个影响macOS密钥链密码管理系统的零日漏洞,该系统可以存储应用程序、服务器和网站的密码,以及与银行帐户相关的敏感信息。在YouTube上发布了这个漏洞演示视频并在Twitter上分享之后,Henze表示并不会公开,因为苹果仍然没有对口的漏洞赏金程序。
◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。