Polityka i prawo
Podatność bezpieczeństwa systemu Mac OS Mojave ujawniona w dniu premiery
W dniu premiery nowej wersji systemu Mac OS Mojave ekspert ds. bezpieczeństwa informatycznego Patrick Wardle ujawnił podatność bezpieczeństwa typu zero day, która pozwala na obejście ograniczeń chroniących prywatność użytkowników - podał serwis Tech Crunch.
System operacyjny został udostępniony w poniedziałek.
Według związanego z firmą Digital Security Wardle'a, podatność pozwala obejść mechanizmy zabezpieczające użytkowników przed nieprawidłowym gromadzeniem ich danych przez aplikacje zainstalowane na komputerze.
Tech Crunch przypomniał, że w poprzednich wersjach system Mac OS wymuszał na aplikacjach pytanie użytkowników o pozwolenie na dostęp do kontaktów osobistych lub do danych kalendarza. Ograniczenie to zostało wprowadzone w 2014 roku po wykryciu nieuprawnionego przesyłania przez niektóre programy prywatnych danych użytkowników, które trafiały ostatecznie na serwery twórców aplikacji i mogły być wykorzystywane np. w celach marketingowych.
Podczas tegorocznej edycji konferencji dla twórców oprogramowania Apple zapowiedziało, że podobne ograniczenia dla aplikacji zostaną rozszerzone na zapytania dotyczące dostępu do mikrofonu, kamery, danych z poczty elektronicznej oraz kopii zapasowych systemu.
Wardle poinformował, że odkryta przez niego podatność nie jest "uniwersalną metodą obejścia zabezpieczeń", ale błędem, który pozwoli specjalnie spreparowanej, złośliwej aplikacji na dostęp do niektórych danych, takich jak np. książka kontaktów. Ma to być możliwe dzięki działaniu złośliwego skryptu, który wymusza przesłanie danych nawet po początkowym odrzuceniu żądania dostępu do informacji - podał serwis.
Ekspert z kolei oświadczył, że nie planuje obecnie upublicznienia szczegółów technicznych podatności, bo nie chce narażać na ryzyko użytkowników nowej wersji systemu na komputery Apple. Swoje działanie tłumaczy frustracją wywołaną postawą koncernu, który nie oferuje badaczom bezpieczeństwa możliwości wzięcia udziału w tzw. "bug bounty", czyli programie poszukiwania luk bezpieczeństwa w zamian za wynagrodzenie.
"Inni dostawcy systemów operacyjnych zrozumieli już, że każde oprogramowanie ma podatności bezpieczeństwa. Apple jednak ciągle chowa głowę w piasek" - powiedział Wardle.
Program koncernu przewidujący nagrody do wysokości 200 tys. dolarów obejmuje tylko tych, którzy zajmują się analizą najpoważniejszych błędów w systemie na urządzenia mobilne Apple - iOS. Firma jak do tej pory nie zdecydowała się rozszerzyć go na system operacyjny dla komputerów.
"Niestety, dopóki Apple nie będzie miało dostatecznego powodu żeby zmienić nastawienie do bezpieczeństwa, nie uczyni tego" - ocenił Wardle. "Generalnie firmy nie są skłonne do wprowadzania zmian tak długo, jak nie zrozumieją, że coś nie działa" - podsumował.