刚发布就出问题 新 macOS 零日漏洞或导致用户数据泄露

凤凰网科技讯 据科技博客AppleInsider北京时间9月25日报道,苹果公司今天向全球用户推送了最新macOS Mojave系统。但是,一位安全研究人员称,新系统包含一个安全保护执行漏洞,可能会导致个人用户数据泄露。

安全公司Digita Security首席研究员帕克里克·瓦德里(Patrick Wardle)对这个明显漏洞进行了介绍。他指出,该漏洞会允许一款无特殊权限的应用绕过系统内建的系统级权限,获取特定应用的用户信息。瓦德里已披露了大量与苹果相关的安全问题,最近的一个是热门Mac应用Adware Doctor秘密记录用户信息。

在今年6月举行的全球开发者大会上,苹果推出了一组增强版macOS安全功能,要求用户向其他人使用选定的应用和硬件提供明确许可。具体来说,用户需要就Mac摄像头、麦克风、邮件历史、消息、Safari等信息的访问提供授权。

瓦德里向Twitter上传了一段短视频,演示了如何绕过其中的至少一个保护机制。他先是利用终端尝试访问和复制联系人,结果失败,这是在苹果安全机制防护下的一个预料之中的结果。接着,瓦德里又运行了一个无特殊权限的应用,名称为“入侵Mojave”(breakMojave),寻找和访问Mac的通讯录。

在成功访问后,瓦德里能够运行一个目录命令,查看私人文件夹里的所有文件,包括元数据和图片。瓦德里在接受采访时称,这次演示并不是绕过增强后权限的“通用方法”,但是可以用于在用户登录macOS后获取受保护的数据。就其本身而言,它不大可能对多数用户造成重大问题,但是可能会在特定情况下引发麻烦。

他并未公布这个漏洞的细节以保护公众,但表示他演示这一漏洞为了吸引苹果的注意,因为该公司并没有为Mac设立漏洞奖励机制。

苹果在2016年推出了iOS漏洞奖励计划,对安全启动固件部分相关的漏洞最高奖励20万美元。不过,苹果并未为Mac设立一个类似的奖励机制。随着这一漏洞的公开,苹果肯定会询问漏洞细节,并在下一个更新中打上补丁。

添加收藏

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏草根博客站长有话说

申请 Google AdSense 账号获批通过的技巧

有很多博客站长都经常问明月如何申请 Google AdSense 账号获批通过,明月的 AdSense 账号申请的太久了,久到我已经回忆不起来细节了,所以能给大...

5183
来自专栏安恒信息

国外安全厂商披露30个Java云服务的0day细节

波兰的一家安全公司近日揭示批漏了30个Java云服务的0day漏洞和相应利用代码,这些漏洞允许客户在其服务器集群上部署Java应用程序。 ...

3856
来自专栏java技术学习之道

分布式架构的演进过程

1413
来自专栏程序工场

从基础到项目实战,你要的Java资源这里都有

1786
来自专栏Java架构

Java分布式架构的演进过程

1946年,世界上第一台电子计算机在美国的宾夕法尼亚大学诞生,它的名字是:ENICAC ,这台计算机的体重比较大,计算速度也不快,但是而代表了计算机时代的到来,...

2096
来自专栏安智客

[分享]Android 安全白皮书

提到终端安全,不得不说的是Android,Android的安全机制在以前更多是系统层门、上层软件方面,随着安全形式的越来越严峻,更多的攻击针对于...

3617
来自专栏优惠券

腾讯云优惠券及使用教程

推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

5K1
来自专栏黑白安全

数万组织因为 Google Groups 配置出错而泄露敏感数据

Kenna Security 的安全研究人员最近发现,9,600 家分析机构中有 31% 的机构因为 Google 网上论坛和 G Suite 配置出错而泄露敏...

1543
来自专栏架构师小秘圈

垂直电商架构进化之路

作者:张增、邓良驹,分别为乐视云计算电商云团队负责人,乐视云计算高级开发工程师 来自:高效运维 1. 电商系统发展过程 电商网站在不同时期的架构复杂度有所不同:...

5419

移动广告库为企业数据带来重大风险

每天在 Mojave Threat Labs,我们的研究团队都会使用超过 200 个个人风险因素来分析数以千计的移动应用程序。我们跟踪的关键风险因素之一是收集并...

1120

扫码关注云+社区

领取腾讯云代金券