logo

「macOS Mojave」の脆弱性で「Safari」のブラウズ履歴が閲覧可能に?--開発者が報告

Catalin Cimpanu (Special to ZDNet.com) 翻訳校正: 矢倉美登里 吉武稔夫 (ガリレオ)2019年02月14日 12時55分
  • このエントリーをはてなブックマークに追加

 「macOS Mojave」の開発者向けAPIに新たなバグが見つかったと報告されている。攻撃者はこの脆弱性を利用して、macOS Mojaveにインストールされた悪意あるアプリで、通常なら保護されているフォルダにアクセスし、「Safari」のブラウジング履歴のデータを引き出せる恐れがあるという。

 このバグは、「Mac」および「iOS」向けアプリ「Underpass」やSafariの拡張機能「StopTheMadness」の開発者であるJeff Johnson氏が先週発見した。Johnson氏によると、macOS Mojaveの全バージョンに影響する。

 Johnson氏は米国時間2月9日、短いブログ記事でこの脆弱性について次のように説明した。「Mojaveには、アクセス制限のかかったフォルダがいくつかあり、初期設定ではアクセスが禁止されている。たとえば、『~/Library/Safari』がそうだ」

 Johnson氏によれば、Mojaveの初期設定では、「Finder」のようなごく一部のシステムアプリしかこのフォルダにアクセスできない。

 Johnson氏は、「だが、Mojaveのこうした保護機能を回避して、アプリがシステムやユーザーからの許可を得ずに~/Library/Safariの中身をのぞける方法を発見した」と述べている。

 さらにJohnson氏は、「許可ダイアログはないが、ちゃんと動くのだ。こうしてマルウェアアプリは、ウェブのブラウジング履歴を調べて、ユーザーのプライバシーをこっそりと侵害できる」としている。(「ちゃんと動く(It Just Works)」というのは、故Steve Jobs氏が新製品をプレゼンテーションする際に好んで使った言い回しだ)。

 Johnson氏はTwitterを通じた米ZDNetの取材で、脆弱性の原因は「開発者向けAPIのバグ」とのみ説明した。問題がまだ解決されておらず、macOSユーザーを危険にさらしたくないとして、同氏はそれ以外の詳細を明らかにしなかった。

 Johnson氏によると、Appleのセキュリティチームに問題を報告し、報告が公式に認められたという。

 Johnson氏は米ZDNetに、「私の報告を検討し、調査中だと言っていた」とし、「私の把握している限りでは、問題は緩和されていない」と述べた。

 Johnson氏は現時点で他の詳細を明らかにすることを拒否したが、発見した脆弱性について、Rapid7のセキュリティ研究者Bob Rudis氏が先ごろオンラインで公表した手法とは関連性がないとした。Rudis氏の情報は、Johnson氏が発見したものと同じではないかと推測されていた。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]