macOSのプライバシー保護機能に開発者が問題指摘 Safariの閲覧履歴を見られる恐れ
macOSとiOSアプリを手掛ける開発者が、不正なアプリを使ってSafariの閲覧履歴を盗み見できてしまう問題を見つけたと伝えた。
macOSとiOSアプリを手掛ける開発者が、macOS Mojave(10.14)のプライバシー保護機能に新たなセキュリティ問題を見つけたと伝えた。不正なアプリを使ってSafariの閲覧履歴を見ることも可能だとしている。
この問題は、開発者のジェフ・ジョンソン氏が自身のブログで2019年2月9日に伝えた。同月7日に公開された最新版の「macOS Mojave 10.14.3追加アップデート」を含め、Mojaveの全バージョンに影響を及ぼすとしている。
ジョンソン氏によると、Mojaveから導入されたプライバシー保護機能では、例えばSafariの閲覧履歴を保存した「~/Library/Safari」のようなフォルダにデフォルトでアクセス制限がかけられていて、ファインダーなどごく一部のアプリからしかアクセスできなくなっている。
ところが同氏は、不正なアプリを使ってこの制限をかわし、システムやユーザーの許可なくそうしたフォルダの内容を参照できてしまう問題があることを発見したという。
この問題を悪用すれば、マルウェアアプリを使ってひそかにWeb閲覧履歴を参照できてしまう恐れがあり、ユーザーのプライバシーが侵害されかねないとしている。
ただし、ジョンソン氏はthreatpostなどの取材に対し、「この問題を悪用するためには、ユーザーが悪質な細工を施したアプリをMacにインストールする必要がある」と説明。「マルウェアアプリが実行されれば、それ以上のパーミッションなしで、こっそりこの問題を悪用できる」と強調している。
関連記事
- 「キーチェーン」の全パスワード盗まれる恐れ macOS Mojaveの未解決の脆弱性、研究者が報告
コンセプト実証用のアプリ「KeySteal」を使って、キーチェーンに登録された全パスワードを盗む様子を示した動画が公開された。 - macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘
macOS Mojaveにユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、セキュリティ研究者がデモ映像を公開した。 - Macの内蔵カメラで盗撮可能な問題、セキュリティ研究者が報告
FaceTimeやSkypeなどを使ったビデオ通話の内容などがマルウェアに盗撮されてしまう恐れがあるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.