最新MacOS漏洞可让间谍应用偷取你的Safari浏览记录

苹果最新版本的MacOS Mojave系统被曝出安全漏洞，恶意软件可利用其访问存储在访问受限文件夹中的数据。正常的情况下，任何应用程序都无法访问这些特殊的文件夹。

这个漏洞由开发人员Jeff Johnson于2月8日发现且，该漏洞尚未修复，影响所有版本的MacOS Mojave，包括2月7日发布的MacOS Mojave 10.14.3版本。

MacOS Mojave系统中的某些文件夹在默认情况下是禁止访问的，例如~/Library/Safari，只有极少数系统应用（如Finder）可以访问它。

但是，Johnson发现了一种绕过的方法，使得普通应用无需用户或系统的许可就能访问~/Library/Safari这类的特殊文件夹，并读取用户的Web浏览历史记录。

Johnson在上周发表的一篇文章中表示：“我的绕过方法可以在启用‘hardened runtime’功能的情况下生效。因此，它可能会被恶意应用所利用。另外，我的绕过方法暂不适用于沙盒应用。”

该漏洞已经向苹果公司报告，但由于距离下一次正式发布安全补丁还一段时间，因此Johnson决定不发布漏洞细节。

Johnson还表示，他发现的这个漏洞和Safari扩展完全无关，因为该漏洞的主要影响对象是系统中所有访问权限特殊的文件夹，其中就包括~/Library/Safari。

值得注意的是，在Mac电脑上运行High Sierra苹果操作系统的用户则不会受到该漏洞的影响。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://thehackernews.com/2019/02/macos-mojave-privacy-hack.html