macOS Mojaveにユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、セキュリティ研究者がデモ映像を公開した。
米Appleが9月24日に公開したmacOSの新バージョン「Mojave」(10.14)について、ユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、著名セキュリティ研究者のパトリック・ウォードル氏がデモ映像を公開した。
Appleは同日公開したセキュリティ情報で、Mojaveでは8件の脆弱性を修正したことを明らかにしているが、この中にウォードル氏の指摘する脆弱性は含まれていない。
ウォードル氏がVimeoに掲載したデモ映像では、脆弱性を突いてユーザーのアドレス帳の場所を突き止め、プライバシーアクセス制限をかわして、アドレス帳の全内容をデスクトップにコピーすることに成功したと報告。Appleに連絡しようとしたが、macOSの脆弱性情報提供を募るバウンティプログラムが見つからなかったとしている。
BleepingComputerはウォードル氏の話として、この脆弱性はプライバシー関連のデータ保護を目的とした対策の実装方法に起因すると伝えた。特権のない不正なアプリを使って新しいセキュリティ対策の仕組みをかわし、認証なしでセンシティブなデータにアクセスすることが可能だとしている。
ただし、Mojaveの新しいプライバシー保護機能全てに対して通用するわけではなく、Webカメラのようなハードウェアベースのコンポーネントは影響を受けないという。
ウォードル氏は2018年11月にハワイで開かれる、macOSのセキュリティカンファレンス「Objective by the Sea」で、この脆弱性に関する詳細の公表を予定している。
※記事掲載当初、脆弱性がダークモードに存在するとしていましたが、ウォードル氏がTwitterで内容を修正したため、記事の内容を一部変更しました。(9/26 20:15)
Copyright © ITmedia, Inc. All Rights Reserved.