Oops! Beveiliging macOS Mojave al na een dag omzeild

Door: Raymon Mens - 12 reacties

Dat is snel. Enkele uren na de definitieve release van macOS Mojave, heeft een onderzoeker al een serieuze bug gevonden die de beveiliging kan omzeilen. Het gaat om een kwaadaardige app die zonder toestemming van de gebruiker privégegevens zoals contactpersonen uit kan lezen. Zelfs als daar geen toestemming voor gegeven is.

Onderzoeker Patrick Wardle toont aan dat zelfs zonder toestemming van de gebruiker het adresboek uit te lezen is. Volgens de beveiligingsexpert is het ook mogelijk om foto’s en e-mail op de achtergrond buit te maken. Pijnlijk, omdat Apple tijdens de onthulling in juni juist benadrukte dat macOS Mojave hier beter dan ooit tegen beschermd is.

Toegang tot adresboek macOS Mojave

Op de Mac moet je als gebruiker al langer toestemming geven om je locatie, adresboek en foto’s met apps te delen. In macOS Mojave wordt ook toestemming gevraagd worden bij toegang tot de camera, microfoon, e-mail en back-ups van iOS-apparaten.

In een video laat de onderzoeker echter zien dat het met een kwaadaardige app mogelijk is om zonder toestemming je adresboek uit te lezen. Het wordt niet duidelijk of dit een probleem is dat alleen op macOS Mojave speelt, of ook op oudere macOS-versies. Een soortgelijk probleem is nog niet eerder voorgekomen.

Apple is op de hoogte

De onderzoeker zegt dat er geen generieke methode is om de beveiliging te omzeilen. Voor het adresboek moet een andere kwaadaardige app worden gemaakt dan voor de foto’s van een gebruiker. Dat dit kan is echter zorgelijk. Het is gelukkig niet mogelijk om de webcam, microfoon of locatievoorzieningen zonder toestemming van de gebruiker in te schakelen. Verdere details zijn schaars, maar Wardle belooft tijdens een conferentie in november met meer informatie te komen. Dan heeft Apple het lek waarschijnlijk al gedicht. Het bedrijf uit Cupertino is al op de hoogte, laat de onderzoeker op Twitter weten.

macos mojave permissie
Klik/tap voor groter.

Reacties

12 reacties
  • Profielfoto
    Macinzon

    Hij heeft de bug niet enkele uren na de release gevonden. Hij wist al van de bug tijdens de beta’s maar heeft besloten Apple enorm te naaien door het na de officiële release pas naar buiten te brengen (omdat er geen bounty program voor macOS is?). Binnen de security wereld is dit een dikke no-no en dit zal zijn reputatie niet goed doen.

  • Profielfoto
    cids

    Dus verstandig om geen onbekende applicaties te installeren…

  • Profielfoto
    Shmoo

    Macinzon op 25 september 2018 14:58
    Hij heeft de bug niet enkele uren na de release gevonden. Hij wist al van de bug tijdens de beta’s maar heeft besloten Apple enorm te naaien door het na de officiële release pas naar buiten te brengen (omdat er geen bounty program voor macOS is?). Binnen de security wereld is dit een dikke no-no en dit zal zijn reputatie niet goed doen.

    Ja precies, duw hem van de glazentrap in de Apple Store! ^

     

     

  • Profielfoto
    bartvdv

    @Macinzon

    Apple mag af en toe wel een keer goed genaaid worden.

  • Profielfoto
    iUchison

    Macinzon op 25 september 2018 14:58
    Hij heeft de bug niet enkele uren na de release gevonden. Hij wist al van de bug tijdens de beta’s maar heeft besloten Apple enorm te naaien door het na de officiële release pas naar buiten te brengen (omdat er geen bounty program voor macOS is?). Binnen de security wereld is dit een dikke no-no en dit zal zijn reputatie niet goed doen.

    Bijzonder. Wist dat niet dat er codes waren binnen die wereld. Leuk om te weten

     

  • Profielfoto
    ln.XSOcam

    Helemaal mee eens Macinzon.

  • Profielfoto
    keesk

    Is Busycontacts de bewuste kwaadaardige app?

  • Profielfoto
    Frans

    keesk op 25 september 2018 19:19
    Is Busycontacts de bewuste kwaadaardige app?

    Nee, Busycontacts is één van de apps van een gerenomeerde developer (BusyMac) die gewoon in de Mac App Store te vinden zijn. Het plaatje laat zien hoe een goed gemaakte applicatie om toestemming vraagt.

  • Profielfoto
    keesk

    Wou al zeggen……

  • Profielfoto
    Paul

    Macinzon op 25 september 2018 14:58
    Hij heeft de bug niet enkele uren na de release gevonden. Hij wist al van de bug tijdens de beta’s maar heeft besloten Apple enorm te naaien door het na de officiële release pas naar buiten te brengen (omdat er geen bounty program voor macOS is?). Binnen de security wereld is dit een dikke no-no en dit zal zijn reputatie niet goed doen.

    Welja, onthoofdt de boodschapper maar.

    Apple heeft een bugreporting procedure. Zo te lezen moet je wel een Apple Developper zijn.

    https://developer.apple.com/bug-reporting/

  • Profielfoto
    Macinzon

    Paul op 26 september 2018 07:31

    Macinzon op 25 september 2018 14:58
    Hij heeft de bug niet enkele uren na de release gevonden. Hij wist al van de bug tijdens de beta’s maar heeft besloten Apple enorm te naaien door het na de officiële release pas naar buiten te brengen (omdat er geen bounty program voor macOS is?). Binnen de security wereld is dit een dikke no-no en dit zal zijn reputatie niet goed doen.

    Welja, onthoofdt de boodschapper maar.

    Apple heeft een bugreporting procedure. Zo te lezen moet je wel een Apple Developper zijn.

    https://developer.apple.com/bug-reporting/

    Zo ver ik weet is het helemaal niet moeilijk om een developer account aan te maken. Daarnaast zijn er meerdere wegen om een bug te melden, hij hoeft niet de officiële weg te bewandelen en zou bijv. een mailtje kunnen sturen of gewoon kunnen bellen zodat ze hem kunnen doorverwijzen.

  • Profielfoto
    joris_h

    Apple betaalt max 20.000 dollar uit aan mensen die deze lekken ontdekken. In deze wereld een belachelijk laag bedrag. Je kunt je lek ook op de zwarte markt verkopen en er veel meer geld mee verdienen. Het is een soort zakcentje wat veel veiligheidsonderzoekers stoort, dit bedrag moet veel hoger liggen.

    Meestal worden lekken doorgegeven aan Apple/google/microsoft etc en krijgen ze een ultimatum mee van 3 maanden om het gat te dichten. Daarna wordt het in het publieke domein losgelaten.

    Er wordt geen tijdlijn gegeven in dit artikel. Apple is op de hoogte, maar hoe lang al? Het is dus niet duidelijk of er binnen de ‘etiquette’ is gehandeld.

    Wat ook niet vermeld wordt is of deze app in de app store staat of dat het een eigen baksel is wat hij via side-loading op zijn mac heeft gezet.

    Vrij essentieel is hoe die app op je computer komt lijkt mij. Ik vind dit artikel te weinig detail geven over de toedracht.