Уязвимость системы защиты новой версии macOS продемонстрировал американский ИБ-специалист Патрик Уордл (Patrick Wardle). 24 сентября, в день выхода Mojave, исследователь опубликовал видео, в котором он с помощью специально созданного приложения получает доступ к записям адресной книги пользователя в обход системы защиты.

Свежая версия macOS требует от пользователя выдачи каждому приложению отдельного разрешения на доступ к персональной информации, такой как геолокация, календари, напоминания, фото или адресная книга.

Уордл, на счету которого не один найденный в macOS баг, утверждает, что новые механизмы безопасности можно обойти. Для демонстрации уязвимости специалист разработал программу, которая копирует контакты пользователя без соответствующих разрешений на доступ к адресной книге.

Исследователь обратил внимание на отсутствие у Apple программы Bug Bounty для macOS. В ответ на комментарии пользователей Twitter он заявил, что если бы компания выплачивала вознаграждение за найденные бреши, специалист в первую очередь оповестил бы разработчика ОС.

Эксперт отметил, что уязвимость не затрагивает аппаратные компоненты системы, такие как веб-камера или микрофон. Кроме того, ряд защитных функций ОС эксплойт обойти не смог. Подробную информацию о баге он пообещал раскрыть на конференции Mac Security, которая пройдет в ноябре на Гавайях.

В августе этого года Патрик Уордл рассказал об ошибке в ядре macOS, при помощи которой злоумышленник мог имитировать движение мыши и клики по элементам интерфейса. Подобные «синтетические» действия могли обмануть систему безопасности, требующую разрешений пользователя для критически важных действий. В итоге в Mojave разработчик принял решение полностью запретить программное взаимодействие с диалоговыми компонентами ОС.

Категории: Уязвимости