セキュリティ研究者、macOS Mojaveの公開直前にプライバシー関連のバグを指摘

 
macOSの新バージョンMojaveの公開日にセキュリティ上の脆弱性が見つかったことが明らかになりました。ユーザー情報が有害アプリに取得されてしまう可能性があるとされています。

ユーザー情報が簡単に取得されてしまう？

Digita Securityのチーフ研究オフィサーのパトリック・ウォードル氏は現地時間の24日、デモ動画を公開し、macOS Mojaveのバグを再現しました。
 
ウォードル氏が有害アプリをシュミレートし、ターミナルからユーザーのコンタクト情報の取得を試みます。
 
システムは最初ユーザー情報へのアクセスを拒否しましたが、最終的にアドレス帳のすべての項目のコピーを許してしまいます。
 

Mojave's 'dark mode' is gorgeous ?
…but its promises about improved privacy protections? kinda #FakeNews ?

0day bypass:https://t.co/rRf8t7C7Zf

btw if anybody has a link to ?'s macOS bug bounty program I'd ? to report this & other 0days -donating any payouts to charity ?

— patrick wardle (@patrickwardle) September 24, 2018

macOSのバグへの報奨金制度を設けていないApple

ウォードル氏はユーザーをリスクから守るためにもバグの詳細をリリースしていませんが、AppleがmacOSのBug Bounty（バグ発見の報奨金制度）を設けていないことを嘆いています。
 
AppleはiOSのバグについては20万ドル（約2,260万円）まで報奨金を用意していますが、macOSのバグはなぜか対象外となっています。
 
「残念ながらAppleにとってセキュリティへのアプローチを変える理由がない限り、それは起こらないだろう。一般的に、企業は何かが壊れていると気づくまでやり方を変えないものだ」と、ウォードル氏はコメントしています。
 
ウォードル氏は1年前にmacOS High Sierraが公開されたときもmacOSの脆弱性を発見しています。
 
 
Source:TechCrunch
Photo:Apple
(lexi)