Onderzoeker omzeilt nieuwe privacyfeature in macOS Mojave
Apple heeft een nieuwe versie van macOS gelanceerd die verschillende nieuwe privacyfeatures introduceert, maar onderzoeker Patrick Wardle is er in geslaagd die te omzeilen. Eén van de features moet ervoor zorgen dat apps niet zomaar toegang tot gevoelige gegevens of hardware kunnen krijgen.
Gebruikers moeten een app toestemming geven om locatiediensten, de e-maildatabase, het adresboek, foto's en andere gevoelige of persoonlijke informatie of bestanden te benaderen. In een video laat Wardle echter zien hoe een script, dat een kwaadaardige app zonder rechten simuleert, toegang tot het adresboek krijgt. Het probleem speelt in de meest recente versie van Mojave en zowel in de Dark als Light mode.
Tegenover TechCrunch en Bleeping Computer laat de onderzoeker weten dat het geen generieke methode is om de beveiliging te omzeilen. Er kan alleen toegang tot bepaalde beveiligde data worden verkregen. Het benaderen van de webcam of microfoon is bijvoorbeeld niet mogelijk. Wardle heeft geen details over de kwetsbaarheid vrijgegeven, om zo misbruik te voorkomen. In november zal hij echter tijdens een conferentie meer informatie openbaar maken.
Ik vraag mij af hoe die man zijn laptop beveiligd buiten de tools die hij publiceert.
Ik vraag mij af hoe die man zijn laptop beveiligd buiten de tools die hij publiceert.
Hij wil gewoon geld zien voor de gevonden bug, niks meer en niks minder.
Eikel.
Ik vraag mij af hoe die man zijn laptop beveiligd buiten de tools die hij publiceert.
Hij wil gewoon geld zien voor de gevonden bug, niks meer en niks minder.
Eikel.
Nee hij wilt dat APPLE het geld doneert aan het goede doel
Apple is traag bij het patchen van diensten, ze zijn ook geheimzinnig over het brengen van updates
Meneertje is een voormalige NSA medewerker die voor zichzelf begonnen is.
NSA heeft niets met goede doelen, wel met goede targets.
Wardle lijkt ook weinig op te hebben met goede zaken getuige zijn immer cynische berichtgeving over lekken en oneffenheden in Apple producten.
Wardle heeft een commercieel bedrijf en probeert net zoals andere AV bedrijven via gratis publiciteit het eigen bedrijf onder de aandacht te brengen.
En dat heeft niets met goede doelen te maken maar gewoon met keiharde dollars verdienen.
Het enige dat overblijft zijn gevonden oneffenheden maar het komt wel erg vaak voor dat hij publicitair aan de haal gaat met zaken die door andere gevonden zijn, weinig fraai, publicitair jatwerk.
Wardle heeft allang zijn eigen positieve geloofwaardigheid in de vorm van positieve integriteit verspeeld en dat ergert steeds meer lezers.
Apple is traag bij het patchen van diensten,
Mojave is weer een nieuwe OS versie, met dus een geheel nieuw OS nummer en naamgeving.
Voor alle fabrikanten, dus ook Apple, geld dat nieuwe versies van software vaak nog bugs bevatten.
Van de jaarlijkse nieuwe introductie van een nieuw MacOs is dat al jaren bekend, veel Apple gebruikers weten dat ze beter even kunnen wachten tot de .1 of .2 versie ervan uitkomt medio december februari.
Dan zijn de meeste bugs eruit gehaald.
Slimme Apple gebruikers weten dat ze beter kunnen blijven zitten op het MacOS ervoor of daarvoor omdat die OS en geen compatibiliteits problemen geven met 3rd party software en de meeste bugs eruit zijn.
Maar het is elk jaar raak, dat geloei over hoe lek apple is en zou zijn.
Nee, dus, alleen bij de introductie van een geheel nieuwe OS versie.
En ja, dat doet Apple zichzelf aan en ja, voor veel gebruikers hoeft het niet, maar dat is kennelijk het dwingende idee dat verandering goed is om bovenin de modieuze markt te blijven.
Voordeel is wel met een jaarlijkse verandering dat malware makers ook steeds moeten bijspijkeren.
Dat doen ze niet en daarom is er mede weinig malware voor MacOS.
Blijft over de horde onderzoekers die het werk van de malware makers en staatshackers hebben overgenomen: ze doen het voorwerk opdat vooral staatshackers (overheden) er hun voordeel mee kunnen doen.
De publiciteiststunts van wardle helpen dus vooral staatshackers, en dus ook de nsa.
NSa en wardle, een blijvend koppel.
Ik vraag mij af hoe die man zijn laptop beveiligd buiten de tools die hij publiceert.
Hij wil gewoon geld zien voor de gevonden bug, niks meer en niks minder.
Eikel.
Nee hij wilt dat APPLE het geld doneert aan het goede doel
Ik neem mijn woorden terug, bij het lezen van btw if anybody has a link to ????'s macOS bug bounty program I'd ???? to report this ging bij mij even het licht uit en las niet ver genoeg door other 0days -donating any payouts to charity????
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
