2月7日发布的10.14.3版本Mac系统中的隐私保护漏洞,可能允许潜在的攻击者绕过保护机制直接访问存储在所有macOS Mojave版本的受限文件夹中的数据。Mac和iOS开发人员Jeff Johnson于2月8日发现了这一漏洞 ,周六上午,他向苹果产品安全部发送Bug报告后收到了自动回复,截止2月11日官方还未正式回复。Jeff Johnson说:“Mojave仅为少数应用程序(如Finder)提供对此文件夹的特殊访问权限。但是,我发现了一种在Mojave中绕过这些保护的 *** ,从而允许应用程序查看〜/Library/Safari,而无需获得系统或用户的任何许可,没有权限对话框也能直接访问。通过这种方式,恶意软件应用程序可以通过检查其Web浏览历史来秘密地侵犯用户的隐私。值得一提的是,尽管Mojave的隐私保护机制试图适用于任何沙箱应用程序,但这种隐私保护绕过的 *** 不能使用恶意的沙箱应用程序,而只能使用非沙箱应用程序或经过公证的应用程序。在接受BleepingComputer采访时,开发人员表示,“我在使用自己的应用程序时发现了这个Bug。我使用了一个特定的API,而且我发现可以使用该API阅读受限制的文件夹。所以旁路并不复杂,只需要Mac开发人员的知识储备。”虽然也可以通过SSH访问localhost来访问Mac上的受限文件夹以列出文件夹(详见 boB Rudis 的推文),Johnson告诉媒体,他发现的漏洞利用方式与此不同。Johnson还表示,此次隐私保护问题并不像SSH旁路那么常见,要想成功利用Bug还有一些限制条件。此外,虽然可以通过禁用系统偏好设置中的远程登录来停止SSH旁路,但Johnson发现的旁路漏洞无法以这种方式停止。当被问及他发现的Bug是否会影响系统上的所有限制文件夹时,他指出,“我发现的一个特别的隐私违规是能够阅读Safari浏览历史记录。虽然暂时没有发现有人恶意利用这种违规方式,但这仍然是其他可以侵犯用户隐私的潜在 *** 。”macOS Mojave中的其他缺陷这已经不是开发人员之一次在苹果的macOS Mojave中发现绕过隐私保护的漏洞了。去年9月26日,Johnson发现了另一个与Automator相关的应用的漏洞(11月macOS 10.14.1发布后被披露)。更具体地说,位于/ usr / bin / automator的命令行版本的Automator可能已被用于绕过Contacts应用程序中的隐私保护并将其内容复制到自定义文件夹。在相关帖子中,他还提到了/ usr / bin / tccutil工具实现中存在的隐私问题,以及将用户以前被授予访问敏感数据或位置权限的其他应用程序捆绑在一起的可能性。Automator问题由Apple在2月7日发布macOS Mojave 10.14.3补充更新时修复,但其他两个仍未修补。此外,Johnson仍在等待苹果公司的回应。上周,安全研究人员Linus Henze还演示了一个影响macOS密钥链密码管理系统的零日漏洞,该系统可以存储应用程序、服务器和网站的密码,以及与银行帐户相关的敏感信息。在YouTube上发布了这个漏洞演示视频并在Twitter上分享之后,Henze表示并不会公开,因为苹果仍然没有对口的漏洞赏金程序。
为什么手机连上wifi却上不了网,而且还是满格信号,密码也正确,也没有不良标志,但就是不能上网,一般出现这种情况的话,有几个地方可能出现问题导致的,手机、路由器、网络。 手机ip冲突...
比方有人申请账号,密码没有改,密码仍是初始化密码123456等等,其他人或许只是想到了英文密码,管理员、密码等密码,他们仍是感觉很高,我设置英文密码,其实最多的便是抽他的嘴,这个密码,听说黑客最多能给...
如何才能监控老公微信聊天记录/如何才能监控老公微信聊天记录 这两天的时间安排明显比较合理,至少自己是这样感觉:阅读的时间比以前多了不少,自己也能静下心来一页一页书慢慢地品读,这种感觉许久不见,而且看...
曾经我最喜欢看的一部电影就叫做窃听风云,因为里面像我们展示的一种权威型的监控。它既包括针孔式的微型摄像头又包括专业型的窃听设备,就是用这种简单的手机窃听可以从我们这样的监听器当中全面的了解到对方,除...
黑客教你查询某人信息(真的黑客先办事后付款)怎样规复微信上被误删除的谈天纪录?在消息爆炸的期间,数据的代价越来越受到正视,用户也越来越正视本人的隐衷平安。但是,微信此举也激励了恢弘网友的思索。固然删除...
有的时候如果想要知道对方的位置,或者是急着找人的时候,其实是非常难受的,这种感觉当然如果知道一些找人的方式,那么将会变得很简单,现在有一种方法就是输入手机号定位找人,可能很多人对于这种方式并不了解,但...