Apple: macOS ma poważną lukę. Chodzi o kradzież danych, firma nie reaguje

Strona głównaApple: macOS ma poważną lukę. Chodzi o kradzież danych, firma nie reaguje
01.07.2020 11:04
fot. Vera_Petrunina/Getty Images
fot. Vera_Petrunina/Getty Images
bDUsjkli

Apple ogłosiło Security Bounty Program w sierpniu 2019 roku. Inicjatywa ta miała zachęcać do informowania giganta z Cupertino o niebezpiecznych lukach w systemach MacOS i iOS (np. tej dotyczącej Facetime). Niestety okazuje się, że firma nie okazywała należytej uwagi zgłoszeniom.

bDUsjkkB

Jeden z deweloperów, Jeff Johnson, odnalazł bardzo poważną lukę w macOS, która dotyczy wersji Mojave (macOS 10.14), Catalina (macOS 10.15) i bety Big Sur (macOS 11). Minęło pół roku od zgłoszenia jej przez Security Bounty Program i Apple nadal nie zareagowało.

macOS: luka w Safari. Atakujący mogą przejąć twoje pliki

W ogromnym skrócie: luka polega na tym, że użytkownik pobierając plik ze strony internetowej umożliwia hakerowi zarazem na stworzenie "sklonowanej" i zmodyfikowanej wersji Safari.

macOS traktuje ją jak "oryginalną" (dzięki obejściu systemu ochrony TCC), ale atakujący może dzięki niej uzyskać do naszych plików z dysku.

bDUsjkkD

To złośliwe oprogramowanie można zakamuflować na dowolnej witrynie i miejscu w internecie (z którego pobieramy aplikacje), dlatego problem jest niezwykle poważny. Luka wykorzystuje sposób, w jaki Safari traktuje JavaScript w systemie macOS.

Deweloper wątpi, że Apple to naprawi

Jeff Johnson natknął się na tę lukę we wrześniu 2019 roku. Inicjatywa Apple Security Bounty Program wystartowała dopiero 19 grudnia 2019 roku. Tego samego dnia Johnson poinformował o tej podatności firmę.

Apple do tej pory nie wystosowało oficjalnego stanowiska, a w regulaminie ich programu jest mowa o 90 dniach na odniesienie się do zgłoszonej sytuacji. Johnson wspomniał, że Apple nadal przygląda się sprawie, chociaż początkowo zapowiadali, że naprawią lukę wiosną 2020.

bDUsjkkJ

Badacz, który odnalazł krytyczną podatność w aplikacji Safari w macOS, zniesmaczony brakiem inicjatywy od Apple, zapowiedział, że nie będzie już brał udziału w programie zgłaszania bugów. Nazwał go również "parodią". Nie wierzy również, że firma naprawi poważną usterkę w nadchodzącym macOS 11 Big Sur.

Johnson opisał szczegóły sprawy dogłębnie i opublikował je pod tym adresem.

bDUsjklz