A solo un giorno dal rilascio, è stata già scovata una falla di sicurezza su macOS Mojave in grado potenzialmente di esporre i dati personali degli utenti.
Scoperta dal ricercatore della Digita Security Patrick Wardle, questa falla consente ad un’app di ignorare le autorizzazioni a livello di sistema e di recuperare le informazioni degli utenti da altre app.
Apple, durante la Worldwide Developers Conference di quest’anno, ha introdotto un set esteso di funzionalità di sicurezza su macOS che richiedono agli utenti di fornire un’autorizzazione esplicita per l’utilizzo di app e hardware selezionati. Nello specifico, gli utenti devono autorizzare l’accesso alla fotocamera, al microfono, alla cronologia della posta, ai messaggi, a Safari, Time Machine e ai backup di iTunes, oltre che a posizioni, routine e cookie di sistema del Mac durante l’esecuzione di macOS Mojave.
In un breve video caricato suVimeo, Wardle dimostra un bypass ad almeno una di queste protezioni.
Il filmato mostra un primo tentativo fallito di accedere e copiare i contatti tramite Terminal, un risultato atteso e previsto dalle misure di sicurezza di Apple. Wardle esegue quindi un’app non privilegiata, chiamata “breakMojave”, per individuare e accedere alla Rubrica del Mac.
Con l’accesso protetto, Wardle è in grado di eseguire un comando specifico per visualizzare tutti i file nella cartella privata, inclusi metadati e immagini.
Wardle spiega che la procedura può essere sfruttata per ottenere l’accesso ai dati protetti quando un utente è connesso a macOS. In quanto tale, è improbabile che il bug di sicurezza costituisca un grosso problema per la maggior parte degli utenti, ma potrebbe essere problematico in determinate situazioni.
Apple è stata già avvisata.