macOS遭爆含有可存取瀏覽器歷史紀錄的隱私漏洞

macOS與iOS開發人員Jeff Johnson在macOS Mojave上發現了一個隱私漏洞，將允許駭客檢視瀏覽歷史紀錄，且波及所有的Mojave（macOS 10.14）版本，包括蘋果甫於2月7日釋出的macOS Mojave 10.14.3。

根據Johnson的說明，Mojave的預設值限制了特定文件夾的存取能力，例如存放Safari瀏覽器資源的~/Library/Safari，只有諸如Finder等少數程式可以存取該文件夾，但他發現有一個方式能夠繞過Mojave中的相關保護，進而允許其它程式不需取得任何許可，就能檢視該文件夾的資料。

Johnson說，透過此一途徑，連許可對話窗都不會出現，惡意程式就能藉此窺探使用者隱私。

此外，Johnson所採用的方法，就算是在啟用Mojave的安全機制「Hardened Runtime」下都能運作，意謂著它通過了蘋果的公證，但無法相容於沙盒程式。

Hardened Runtime為Mojave新增的安全機制，以讓應用程式在額外的安全保護及資源存取限制下運作，而Johnson所利用的只是此一新功能的一個缺陷，並已通報了蘋果。