Badacz bezpieczeństwa odkrył, że każdy może uzyskać dostęp do historii stron internetowych w Safari za pomocą prostego złośliwego oprogramowania. Apple pracuje nad poprawką
Masz komputer Mac i korzystasz z Safari do przeglądania stron internetowych? Wtedy Twoja prywatność może być zagrożona. Jeszcze nie załatana luka w macOS Mojave, najnowszej wersji systemu operacyjnego dla komputerów iMac i Macbooków, pozwala każdemu, kto chce (oczywiście z odpowiednimi umiejętnościami technicznymi) uzyskać dostęp do historii przeglądarki Apple.
Apple przyznało, że jest świadome luki w swoim systemie operacyjnym i pracuje nad jej załataniem. Może to jednak zająć trochę czasu, jak przyznaje Jeff Johnson, badacz bezpieczeństwa, który odkrył błąd. W międzyczasie, co możesz zrobić, aby chronić swoją prywatność podczas przeglądania stron internetowych? Prawdopodobnie jedynym rozwiązaniem jest zmiana przeglądarki, przynajmniej dopóki Apple nie wyda aktualizacji ad hoc. Oczywiście nie wiadomo, czy inne przeglądarki cierpią na tę samą lukę, ale na chwilę obecną wydaje się ona być jedynym "kołem ratunkowym".
Historia Safari zagrożona, co się dzieje?
W systemie macOS Mojave inżynierowie i programiści Apple wprowadzili nowe zabezpieczenie, które ma chronić dane użytkowników. Dzięki temu nowemu narzędziu nie wszystkie aplikacje zainstalowane na komputerze mają dostęp do folderów (i ich zawartości) na dysku twardym. Nie wiadomo jeszcze dlaczego, ale folder Safari na macOS Mojave nie jest chroniony przez tę funkcję, co oznacza, że inne programy zainstalowane na komputerze mogą uzyskać dostęp do folderu przeglądarki i przesiać przechowywane w nim dane. Łącznie z historią pliku, oczywiście.
Według Jeffa Johnsona, cyberprzestępca może wykorzystać tę wadę na swoją korzyść w bardzo prosty sposób. Wystarczyłoby zainfekować Maca jakimkolwiek złośliwym oprogramowaniem, aby uzyskać dostęp do folderu Safari, a tym samym do historii stron internetowych właściciela komputera. Wystarczy spam lub atak socjotechniczny, aby "nakłonić" użytkownika do zainstalowania złośliwego oprogramowania i już: od tego momentu może ono szpiegować każdą aktywność użytkownika w sieci w sposób cichy i bez konieczności uzyskania jakiejkolwiek zgody lub autoryzacji.