Исследователь Патрик Уордл, обнаруживший множество уязвимостей в операционной системе macOS от Apple, сегодня поделился некоторыми деталями новой уязвимости, которую он нашел в недавно выпущенном обновлении macOS Mojave.

Как сообщает BleepingComputer, Уордл обнаружил, что смог получить доступ к данным контактов из адресной книги с помощью непривилегированного приложения, как продемонстрировано в видео ниже.

По словам Уордла, уязвимость является результатом того, как Apple реализовала новые функции защиты конфиденциальности macOS в обновлении Mojave.

«Я нашел тривиальный, хотя и на 100% надежный недостаток в их реализации», — сказал он нам, добавив, что это позволяет вредоносному или недоверенному приложению обойти новый механизм безопасности и получить доступ к конфиденциальным данным без авторизации.

Обходной путь не работает со всеми новыми функциями защиты конфиденциальности в macOS Mojave, и аппаратные компоненты, такие как веб-камера, не затронуты. Полные сведения об уязвимости еще не доступны, поскольку Уордл планирует поделиться техническими деталями в ноябре.

В обновлении macOS Mojave Apple внесла изменение, требующее явного согласия пользователя для доступа приложений к данным о местоположении, камере, контактам, календарям, напоминаниям, истории сообщений, данным Safari, базам данных почты и другим конфиденциальным данным, что должно предотвратить уязвимость, которую демонстрирует Уордл.

Apple, несомненно, устранит уязвимость безопасности, обнаруженную Уордлом, в предстоящем обновлении macOS Mojave.