Apple: macOS ma poważną lukę. Chodzi o kradzież danych, firma nie reaguje

Jeden z deweloperów, Jeff Johnson, odnalazł bardzo poważną lukę w macOS, która dotyczy wersji Mojave (macOS 10.14), Catalina (macOS 10.15) i bety Big Sur (macOS 11). Minęło pół roku od zgłoszenia jej przez Security Bounty Program i Apple nadal nie zareagowało.

W ogromnym skrócie: luka polega na tym, że użytkownik pobierając plik ze strony internetowej umożliwia hakerowi zarazem na stworzenie "sklonowanej" i zmodyfikowanej wersji Safari.

macOS traktuje ją jak "oryginalną" (dzięki obejściu systemu ochrony TCC), ale atakujący może dzięki niej uzyskać do naszych plików z dysku.

To złośliwe oprogramowanie można zakamuflować na dowolnej witrynie i miejscu w internecie (z którego pobieramy aplikacje), dlatego problem jest niezwykle poważny. Luka wykorzystuje sposób, w jaki Safari traktuje JavaScript w systemie macOS.

Jeff Johnson natknął się na tę lukę we wrześniu 2019 roku. Inicjatywa Apple Security Bounty Program wystartowała dopiero 19 grudnia 2019 roku. Tego samego dnia Johnson poinformował o tej podatności firmę.

Apple do tej pory nie wystosowało oficjalnego stanowiska, a w regulaminie ich programu jest mowa o 90 dniach na odniesienie się do zgłoszonej sytuacji. Johnson wspomniał, że Apple nadal przygląda się sprawie, chociaż początkowo zapowiadali, że naprawią lukę wiosną 2020.

Badacz, który odnalazł krytyczną podatność w aplikacji Safari w macOS, zniesmaczony brakiem inicjatywy od Apple, zapowiedział, że nie będzie już brał udziału w programie zgłaszania bugów. Nazwał go również "parodią". Nie wierzy również, że firma naprawi poważną usterkę w nadchodzącym macOS 11 Big Sur.

Johnson opisał szczegóły sprawy dogłębnie i opublikował je pod tym adresem.