Một developer về iOS và Mac cho biết trên macOS Mojave xuất hiện một lỗ hổng bảo mật cho phép các ứng dụng giả mạo toàn quyền truy cập vào lịch sử duyệt Safari của bạn.
Trước phiên bản Mojave, lịch sử duyệt web của bạn được cung cấp miễn phí cho bất kỳ ứng dụng nào tìm kiếm bên trong đường dẫn ~ / Library / Safari. Tuy nhiên, trong macOS 10.14, Apple đã khóa truy cập chặt chẽ đến mức bạn không thể tìm được ngay cả trong Terminal, theo lý thuyết là vậy.
Tuy nhiên mới đây theo Jeff Johnson, người đã tạo ra ứng dụng StopTheMadness và Underpass, đã phát hiện ra một lỗ hổng trong bảo vệ:
Mojave cung cấp quyền truy cập đặc biệt chỉ vào thư mục này chỉ cho một vài ứng dụng, chẳng hạn như Finder. Tuy nhiên, tôi đã phát hiện ra một cách để vượt qua các biện pháp bảo vệ này trong Mojave và cho phép các ứng dụng tìm bên trong ~ / Library / Safari mà không cần quyền từ hệ thống hoặc từ người dùng. Không có hộp thoại yêu cầu cấp phép nào cả, chỉ thực hiện luôn. Theo cách này, một ứng dụng phần mềm độc hại có thể bí mật xâm phạm quyền riêng tư của người dùng bằng cách kiểm tra lịch sử duyệt web của họ…
Thực tế thì việc này cũng không quá nghiêm trọng, vì thông thường các ứng dụng được Apple kiểm tra rất nghiêm ngặt, một có khả năng khai thác lịch sử của bạn chỉ có thể được công chứng bởi Apple hoặc bằng cách nào đó vượt qua được kiểm tra phần mềm độc hại tự động của Apple.
Bên cạnh đó các ứng dụng trên Mac App Store thường là dạng khép kín (sandboxed), không được phép truy cập các thư mục bên ngoài ứng dụng nên những kẻ xấu không thể khai thác bằng mã độc trong các ứng dụng đó. Tuy nhiên có nguy cơ xảy ra khi bạn ủy quyền cho một ứng dụng được tải xuống từ nơi khác, lúc này bạn chỉ nên tải từ nhà phát triển mà bạn tin tưởng.
Sau cùng Johnson nhấn mạnh rằng việc này không làm cho Mojave kém an toàn hơn phiên bản trước, vì ở phiên bản trước không có khóa truy cập thư mục ~ / Library / Safari. Anh cũng cho biết chuyển đầy đủ thông tin chi tiết về lỗ hổng lịch sử duyệt Safari cho Apple và hi vọng Apple sẽ nhanh chóng sửa lỗi.
