Apple: macOS ma poważną lukę. Chodzi o kradzież danych, firma nie reaguje

Apple: macOS ma poważną lukę. Chodzi o kradzież danych, firma nie reaguje

fot. Vera_Petrunina/Getty Images
fot. Vera_Petrunina/Getty Images
01.07.2020 11:04

Apple ogłosiło Security Bounty Program w sierpniu 2019 roku. Inicjatywa ta miała zachęcać do informowania giganta z Cupertino o niebezpiecznych lukach w systemach MacOS i iOS (np. tej dotyczącej Facetime). Niestety okazuje się, że firma nie okazywała należytej uwagi zgłoszeniom.

Jeden z deweloperów, Jeff Johnson, odnalazł bardzo poważną lukę w macOS, która dotyczy wersji Mojave (macOS 10.14), Catalina (macOS 10.15) i bety Big Sur (macOS 11). Minęło pół roku od zgłoszenia jej przez Security Bounty Program i Apple nadal nie zareagowało.

macOS: luka w Safari. Atakujący mogą przejąć twoje pliki

W ogromnym skrócie: luka polega na tym, że użytkownik pobierając plik ze strony internetowej umożliwia hakerowi zarazem na stworzenie "sklonowanej" i zmodyfikowanej wersji Safari.

macOS traktuje ją jak "oryginalną" (dzięki obejściu systemu ochrony TCC), ale atakujący może dzięki niej uzyskać do naszych plików z dysku.

To złośliwe oprogramowanie można zakamuflować na dowolnej witrynie i miejscu w internecie (z którego pobieramy aplikacje), dlatego problem jest niezwykle poważny. Luka wykorzystuje sposób, w jaki Safari traktuje JavaScript w systemie macOS.

Deweloper wątpi, że Apple to naprawi

Jeff Johnson natknął się na tę lukę we wrześniu 2019 roku. Inicjatywa Apple Security Bounty Program wystartowała dopiero 19 grudnia 2019 roku. Tego samego dnia Johnson poinformował o tej podatności firmę.

Apple do tej pory nie wystosowało oficjalnego stanowiska, a w regulaminie ich programu jest mowa o 90 dniach na odniesienie się do zgłoszonej sytuacji. Johnson wspomniał, że Apple nadal przygląda się sprawie, chociaż początkowo zapowiadali, że naprawią lukę wiosną 2020.

Badacz, który odnalazł krytyczną podatność w aplikacji Safari w macOS, zniesmaczony brakiem inicjatywy od Apple, zapowiedział, że nie będzie już brał udziału w programie zgłaszania bugów. Nazwał go również "parodią". Nie wierzy również, że firma naprawi poważną usterkę w nadchodzącym macOS 11 Big Sur.

Johnson opisał szczegóły sprawy dogłębnie i opublikował je pod tym adresem.

Programy

Zobacz więcej
Źródło artykułu:www.dobreprogramy.pl
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Wybrane dla Ciebie
Komentarze (34)