2019-2-14
Os utilizadores têm de instalar uma aplicação maliciosa antes de ser possível atacar o Safari e roubar o histórico do browser. Os detalhes da vulnerabilidade já foram partilhados com a equipa de segurança da Apple
|
Um bug numa API permite que aplicações maliciosas instaladas no macOS Mojave obtenham acesso a uma pasta normalmente protegida. Através desta pasta, hacker podem extrair dados do histórico de navegação do Safari. Jeff Johnson descobriu a vulnerabilidade na última semana e afeta todas as versões conhecidas do macOS Mojave. Jeff Johnson é o developer da aplicação Underpass Mac e iOS e pela extensão StopTheMadness Safari. "No Mojave, certas pastas têm acesso restrito que é proibido por padrão", Johnson explicou a vulnerabilidade numa publicação no seu blog. "Por exemplo, ~ / Library / Safari. Na aplicação Terminal, não pode sequer listar o conteúdo dessa pasta". Johnson diz que, por padrão, o Mojave fornece acesso a essa pasta apenas para algumas aplicações de sistema selecionados, como o Finder. "No entanto, descobri uma maneira de contornar estas proteções no Mojave e permitir que as aplicações procurem dentro do ~ / Library / Safari sem obter qualquer permissão do sistema ou do utilizador", explicou. "Não há diálogos de permissão, apenas funciona. Desta forma, uma aplicação de malware pode violar secretamente a privacidade de um utilizador, examinando o seu histórico de navegação na web". |
