Нову вразливість виявили в гаджетах Apple: «обійде будь-який захист»

У комп’ютер відомої марки виявили ряд проблем, які загрожують роботі будь-якого гаджета

Розробник додатків під macOS і iOS випадково виявив значну вразливість в останній версії macOS Mojave 10.14.3, реліз якої відбувся всього кілька днів тому. Нагадаємо, macOS – проприетарна операційна система виробництва Apple.

За даними програміста Джеффа Джонсона (Jeff Johnson), в Mojave доступ до деяких папок, таких як ~ / Library / Safari, перекритий за замовчуванням, і тільки кілька системних додатків мають право на звернення до її вмісту. Однак Джонсону вдалося знайти спосіб обійти ці обмеження і дозволити додаткам зчитувати вміст цих папок, не отримуючи жодних дозволів від користувача або системи.

«Воно просто працює ™, – пише Джонсон. – Таким чином, шкідливий додаток може таємно порушувати конфіденційність користувача, зчитуючи його історію браузера».

Джонсон також зазначив, що його метод обходу захисту конфіденційності працює при включеному режимі hardened runtime, так що додаток може бути навіть завірено macOS. Але це за умови, що воно пройде штатну перевірку на наявність шкідливих компонентів. На думку Джонсона, втім, це не найголовніша проблема.

Джонсон говорить, що виявив уразливість при роботі над власним додатком (абсолютно легітимним), використовуючи якийсь API, назвати який він відмовився. Але саме цей API дозволив читати вміст «захищених» папок. «В обході немає нічого складного, потрібні тільки знання розробника Mac», – заявляє він.

На думку Джонсона, виявлена ​​їм проблема має свої обмеження, і він перевіряв тільки можливість отримання доступу до історії браузера Safari. Чи можна за допомогою цього бага дістатися до інших захищених папок, він не перевіряв.

Також раніше повідомлялося, що німецька хакер показала користувачам MacOS, як можна вкрасти їх логіни і паролі всього за хвилину.

Відповідні кадри з’явилися в інтернет-мережі.

«Німецький фахівець з інформаційної безпеки Лінус Хенце (Linus Henze) встановив, що уразливість так званого нульового дня в macOS дозволяє викрасти всі паролі користувача. З цього приводу він записав спеціальне відео YouTube proof-of-concept. Тривалість процесу займає близько хвилини. Проблему Хенце назвав KeySteal, оскільки вона “витягує” всі паролі з Keychain», – йдеться в повідомленні.

Нагадаємо, як визначити власника сайту, експерти підготували відповідь.

Як писала Politeka, СБУ дала бій путінським хакерам в Дніпрі.

Politeka раніше повідомляла, старі iPhone перетворилися в здобич для хакерів.