Новую уязвимость обнаружили в гаджетах Apple: «обойдет любую защиту»

В компьютер известной марки обнаружили ряд проблем, которые грозят работе любого гаджета

Разработчик приложений под macOS и iOS случайно обнаружил значительную уязвимость в последней версии macOS Mojave 10.14.3, релиз которой состоялся всего несколько дней назад. Напомним, macOS — проприетарная операционная система производства Apple.

По данным программиста Джеффа Джонсона (Jeff Johnson), в Mojave доступ к некоторым папкам, таким как ~/Library/Safari, перекрыт по умолчанию, и только несколько системных приложений имеют право на обращение к ее содержимому. Однако Джонсону удалось найти способ обойти эти ограничения и позволить приложениям считывать содержимое этих папок, не получая никаких разрешений от пользователя или системы.

«Оно просто работает(tm), — пишет Джонсон. — Таким образом, вредоносное приложение может тайно нарушать конфиденциальность пользователя, считывая его историю браузера».

Джонсон также отметил, что его метод обхода защиты конфиденциальности работает при включенном режиме hardened runtime, так что приложение может быть даже заверено macOS. Но это при условии, что оно пройдет штатную проверку на наличие вредоносных компонентов. По мнению Джонсона, впрочем, это не самая главная проблема.

Джонсон говорит, что обнаружил уязвимость при работе над собственным приложением (совершенно легитимным), используя некий API, назвать который он отказался. Но именно этот API позволил читать содержимое «защищенных» папок. «В обходе нет ничего сложного, требуются только знания разработчика Mac», — заявляет он.

По мнению Джонсона, выявленная им проблема имеет свои ограничения, и он проверял только возможность получения доступа к истории браузера Safari. Можно ли с помощью этого бага добраться до других защищенных папок, он не проверял.

Также ранее сообщалось, что немецкий хакер показала пользователям MacOS, как можно украсть их логины и пароли всего за минуту.

Соответствующие кадры появились в интернет-сети.

«Немецкий специалист по информационной безопасности Линус Хенце (Linus Henze) установил, что уязвимость так называемого нулевого дня в macOS позволяет похитить все пароли пользователя. По этому поводу он записал специальное видео YouTube proof-of-concept. Длительность процесса занимает около минуты. Проблему Хенце назвал KeySteal, поскольку она «вытягивает» все пароли из Keychain», — говорится в сообщении.

Напомним, как определить владельца сайта, эксперты подготовили ответ.

Как писала Politeka, СБУ дала бой путинским хакерам в Днепре.

Politeka ранее сообщала, старые iPhone превратились в добычу для хакеров.