圖片來源: 

蘋果

macOS與iOS開發人員Jeff Johnson在macOS Mojave上發現了一個隱私漏洞,將允許駭客檢視瀏覽歷史紀錄,且波及所有的Mojave(macOS 10.14)版本,包括蘋果甫於2月7日釋出的macOS Mojave 10.14.3。

根據Johnson的說明,Mojave的預設值限制了特定文件夾的存取能力,例如存放Safari瀏覽器資源的~/Library/Safari,只有諸如Finder等少數程式可以存取該文件夾,但他發現有一個方式能夠繞過Mojave中的相關保護,進而允許其它程式不需取得任何許可,就能檢視該文件夾的資料。

Johnson說,透過此一途徑,連許可對話窗都不會出現,惡意程式就能藉此窺探使用者隱私。

此外,Johnson所採用的方法,就算是在啟用Mojave的安全機制「Hardened Runtime」下都能運作,意謂著它通過了蘋果的公證,但無法相容於沙盒程式。

Hardened Runtime為Mojave新增的安全機制,以讓應用程式在額外的安全保護及資源存取限制下運作,而Johnson所利用的只是此一新功能的一個缺陷,並已通報了蘋果。


Advertisement

更多 iThome相關內容