蘋果曝安全漏洞 允許惡意應用訪問Safari記錄

Mac和iOS開發(fā)人員表示，蘋果的macOS Mojave中Safari瀏覽歷史記錄有一個安全漏洞，允許惡意應用程序進行完全訪問。且波及所有的Mojave（macOS 10.14）版本，包括蘋果于2月7日釋出的macOS Mojave 10.14.3。

一名開發(fā)人員發(fā)現(xiàn)了這個缺陷：

Mojave僅為少數(shù)應用程序（如Finder）提供對此文件夾的特殊訪問權限。但是，我發(fā)現(xiàn)了一種在Mojave中繞過這些保護的方法，允許應用程序在~/Library/Safari沒有獲得系統(tǒng)或用戶的任何許可的情況下查看內(nèi)部，并且沒有權限對話框。通過這種方式，惡意軟件應用程序可以通過檢查他們的網(wǎng)絡瀏覽歷史秘密地侵犯用戶的隱私。

這不是一個大問題，因為Mac沙盒應用程序（如Mac App Store中的應用程序）無法訪問其容器外的文件夾，因此這些應用程序中的惡意代碼無法利用這些內(nèi)容。要產(chǎn)生這種風險，用戶必須授權從其他地方下載的應用程序，這是應該只對信任的開發(fā)人員進行的操作。

這位開發(fā)人員表示他已經(jīng)將Safari瀏覽歷史漏洞的全部細節(jié)傳遞給蘋果，但預計修復需要一些時間。

Mac和iOS開發(fā)人員表示，蘋果的macOS Mojave中Safari瀏覽歷史記錄有一個安全漏洞，允許惡意應用程序進行完全訪問。且波及所有的Mojave（macOS 10.14）版本，包括蘋果于2月7日釋出的macOS Mojave 10.14.3。

一名開發(fā)人員發(fā)現(xiàn)了這個缺陷：

Mojave僅為少數(shù)應用程序（如Finder）提供對此文件夾的特殊訪問權限。但是，我發(fā)現(xiàn)了一種在Mojave中繞過這些保護的方法，允許應用程序在~/Library/Safari沒有獲得系統(tǒng)或用戶的任何許可的情況下查看內(nèi)部，并且沒有權限對話框。通過這種方式，惡意軟件應用程序可以通過檢查他們的網(wǎng)絡瀏覽歷史秘密地侵犯用戶的隱私。

這不是一個大問題，因為Mac沙盒應用程序（如Mac App Store中的應用程序）無法訪問其容器外的文件夾，因此這些應用程序中的惡意代碼無法利用這些內(nèi)容。要產(chǎn)生這種風險，用戶必須授權從其他地方下載的應用程序，這是應該只對信任的開發(fā)人員進行的操作。

這位開發(fā)人員表示他已經(jīng)將Safari瀏覽歷史漏洞的全部細節(jié)傳遞給蘋果，但預計修復需要一些時間。