「macOS Mojave」の脆弱性で「Safari」のブラウズ履歴が閲覧可能に？--開発者が報告

　「macOS Mojave」の開発者向けAPIに新たなバグが見つかったと報告されている。攻撃者はこの脆弱性を利用して、macOS Mojaveにインストールされた悪意あるアプリで、通常なら保護されているフォルダにアクセスし、「Safari」のブラウジング履歴のデータを引き出せる恐れがあるという。

　このバグは、「Mac」および「iOS」向けアプリ「Underpass」やSafariの拡張機能「StopTheMadness」の開発者であるJeff Johnson氏が先週発見した。Johnson氏によると、macOS Mojaveの全バージョンに影響する。

　Johnson氏は米国時間2月9日、短いブログ記事でこの脆弱性について次のように説明した。「Mojaveには、アクセス制限のかかったフォルダがいくつかあり、初期設定ではアクセスが禁止されている。たとえば、『~/Library/Safari』がそうだ」

　Johnson氏によれば、Mojaveの初期設定では、「Finder」のようなごく一部のシステムアプリしかこのフォルダにアクセスできない。

　Johnson氏は、「だが、Mojaveのこうした保護機能を回避して、アプリがシステムやユーザーからの許可を得ずに~/Library/Safariの中身をのぞける方法を発見した」と述べている。

　さらにJohnson氏は、「許可ダイアログはないが、ちゃんと動くのだ。こうしてマルウェアアプリは、ウェブのブラウジング履歴を調べて、ユーザーのプライバシーをこっそりと侵害できる」としている。（「ちゃんと動く（It Just Works）」というのは、故Steve Jobs氏が新製品をプレゼンテーションする際に好んで使った言い回しだ）。

　Johnson氏はTwitterを通じた米ZDNetの取材で、脆弱性の原因は「開発者向けAPIのバグ」とのみ説明した。問題がまだ解決されておらず、macOSユーザーを危険にさらしたくないとして、同氏はそれ以外の詳細を明らかにしなかった。

　Johnson氏によると、Appleのセキュリティチームに問題を報告し、報告が公式に認められたという。

　Johnson氏は米ZDNetに、「私の報告を検討し、調査中だと言っていた」とし、「私の把握している限りでは、問題は緩和されていない」と述べた。

　Johnson氏は現時点で他の詳細を明らかにすることを拒否したが、発見した脆弱性について、Rapid7のセキュリティ研究者Bob Rudis氏が先ごろオンラインで公表した手法とは関連性がないとした。Rudis氏の情報は、Johnson氏が発見したものと同じではないかと推測されていた。

It's not exactly rocket-science to bypass macOS 10.14 restrictions:

ssh localhost ls ~/Library/Safari

It'll be cool to see how Jeff's bypass ends up working (I doubt it's the ssh trick as that's "designed behavior") // Spying on Safari in Mojave https://t.co/jhk0idV9pr

— boB Rudis (@hrbrmstr) 2019年2月10日