macOS Mojaveに未解決の脆弱性、セキュリティ研究者が指摘

macOS Mojaveにユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、セキュリティ研究者がデモ映像を公開した。

　米Appleが9月24日に公開したmacOSの新バージョン「Mojave」（10.14）について、ユーザーの情報を流出させてしまう未解決の脆弱性が見つかったとして、著名セキュリティ研究者のパトリック・ウォードル氏がデモ映像を公開した。

　Appleは同日公開したセキュリティ情報で、Mojaveでは8件の脆弱性を修正したことを明らかにしているが、この中にウォードル氏の指摘する脆弱性は含まれていない。

　ウォードル氏によると、情報流出の脆弱性は、Mojaveで追加された新機能の「ダークモード」に存在する。同氏がVimeoに掲載したデモ映像では、この問題を突いてユーザーのアドレス帳の場所を突き止め、プライバシーアクセス制限をかわして、アドレス帳の全内容をデスクトップにコピーすることに成功したと報告。Appleに連絡しようとしたが、macOSの脆弱性情報提供を募るバウンティプログラムが見つからなかったとしている。

　BleepingComputerはウォードル氏の話として、この脆弱性はプライバシー関連のデータ保護を目的とした対策の実装方法に起因すると伝えた。特権のない不正なアプリを使って新しいセキュリティ対策の仕組みをかわし、認証なしでセンシティブなデータにアクセスすることが可能だとしている。

BleepingComputerの記事

　ただし、Mojaveの新しいプライバシー保護機能全てに対して通用するわけではなく、Webカメラのようなハードウェアベースのコンポーネントは影響を受けないという。

　ウォードル氏は2018年11月にハワイで開かれる、macOSのセキュリティカンファレンス「Objective by the Sea」で、この脆弱性に関する詳細の公表を予定している。