0Day: macOS privacy protections bypass

Πέρυσι, η επέκτεινε το πρόγραμμα ανεύρεσης κενών ασφαλείας της για να συμπεριλάβει και το μαζί με το iPhone. Ωστόσο, σύμφωνα με τουλάχιστον έναν ερευνητή, η εταιρεία δεν ενεργεί αρκετά γρήγορα σε ορισμένα exploits.

Ο προγραμματιστής Jeff Johnson ενημέρωσε την Apple για ένα exploit που επιτρέπει σε ένα εισβολέα να κλέψει ιδιωτικά δεδομένα με ένα κακόβουλο κλώνο του Safari πριν από έξι μήνες.

Αν ένας χρήστης εξαπατηθεί να κατεβάσει το κακόβουλο αρχείο, ο κλώνος του Safari παρέχει αδικαιολόγητη πρόσβαση στο macOS. Τυχόν περιορισμένα αρχείο που είναι διαθέσιμα στο Safari γίνονται άμεσα διαθέσιμα στον εισβολέα.

Ο Johnson εξηγεί ότι το exploit λειτουργεί επειδή η λειτουργία Transparancy, Consent, and Control privacy protection της Apple πραγματοποιεί ανεπαρκή έλεγχο της αυθεντικότητας ενός αρχείου. Αυτό σημαίνει ότι η τροποποιημένη έκδοση του Safari μπορεί να τρέξει χωρίς να ενεργοποιηθεί η προαναφερθείσα προστασία.

Και ναι, το exploit λειτουργεί και στο τρέχον macOS 11 Big Sur beta.

  Kodachi Linux 8.26 anti forensic ανώνυμο λειτουργικό

Ο Johnson αναφέρει ότι η Apple του είπε ότι εξακολουθούν να διερευνούν το πρόβλημα, αφού του είπε αρχικά ότι θα διορθωθεί την άνοιξη του 2020. Φυσικά, ο κόσμος αυτή τη στιγμή κατακλύζεται από μια συνεχιζόμενη πανδημία και εργαζόμενοι σε όλο τον κόσμο λειτουργούν μέσω διαδικτύου, κάτι που δικαιολογεί καθυστερήσεις.

Ας ελπίσουμε ότι το σφάλμα θα διευθετηθεί τη στιγμή που θα κυκλοφορήσει δημόσια το Big Sur. Για περισσότερα σχετικά με τον τρόπο λειτουργίας του exploit, μπορείτε να δείτε την ανάρτηση του Johnson από εδώ.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).