Onderzoeker omzeilt nieuwe privacyfeature in macOS Mojave
Apple heeft een nieuwe versie van macOS gelanceerd die verschillende nieuwe privacyfeatures introduceert, maar onderzoeker Patrick Wardle is er in geslaagd die te omzeilen. Eén van de features moet ervoor zorgen dat apps niet zomaar toegang tot gevoelige gegevens of hardware kunnen krijgen.
Gebruikers moeten een app toestemming geven om locatiediensten, de e-maildatabase, het adresboek, foto's en andere gevoelige of persoonlijke informatie of bestanden te benaderen. In een video laat Wardle echter zien hoe een script, dat een kwaadaardige app zonder rechten simuleert, toegang tot het adresboek krijgt. Het probleem speelt in de meest recente versie van Mojave en zowel in de Dark als Light mode.
Tegenover TechCrunch en Bleeping Computer laat de onderzoeker weten dat het geen generieke methode is om de beveiliging te omzeilen. Er kan alleen toegang tot bepaalde beveiligde data worden verkregen. Het benaderen van de webcam of microfoon is bijvoorbeeld niet mogelijk. Wardle heeft geen details over de kwetsbaarheid vrijgegeven, om zo misbruik te voorkomen. In november zal hij echter tijdens een conferentie meer informatie openbaar maken.
Ik vraag mij af hoe die man zijn laptop beveiligd buiten de tools die hij publiceert.
Ik vraag mij af hoe die man zijn laptop beveiligd buiten de tools die hij publiceert.
Hij wil gewoon geld zien voor de gevonden bug, niks meer en niks minder.
Eikel.
Ik vraag mij af hoe die man zijn laptop beveiligd buiten de tools die hij publiceert.
Hij wil gewoon geld zien voor de gevonden bug, niks meer en niks minder.
Eikel.
Nee hij wilt dat APPLE het geld doneert aan het goede doel
Apple is traag bij het patchen van diensten, ze zijn ook geheimzinnig over het brengen van updates
Meneertje is een voormalige NSA medewerker die voor zichzelf begonnen is.
NSA heeft niets met goede doelen, wel met goede targets.
Wardle lijkt ook weinig op te hebben met goede zaken getuige zijn immer cynische berichtgeving over lekken en oneffenheden in Apple producten.
Wardle heeft een commercieel bedrijf en probeert net zoals andere AV bedrijven via gratis publiciteit het eigen bedrijf onder de aandacht te brengen.
En dat heeft niets met goede doelen te maken maar gewoon met keiharde dollars verdienen.
Het enige dat overblijft zijn gevonden oneffenheden maar het komt wel erg vaak voor dat hij publicitair aan de haal gaat met zaken die door andere gevonden zijn, weinig fraai, publicitair jatwerk.
Wardle heeft allang zijn eigen positieve geloofwaardigheid in de vorm van positieve integriteit verspeeld en dat ergert steeds meer lezers.
Apple is traag bij het patchen van diensten,
Mojave is weer een nieuwe OS versie, met dus een geheel nieuw OS nummer en naamgeving.
Voor alle fabrikanten, dus ook Apple, geld dat nieuwe versies van software vaak nog bugs bevatten.
Van de jaarlijkse nieuwe introductie van een nieuw MacOs is dat al jaren bekend, veel Apple gebruikers weten dat ze beter even kunnen wachten tot de .1 of .2 versie ervan uitkomt medio december februari.
Dan zijn de meeste bugs eruit gehaald.
Slimme Apple gebruikers weten dat ze beter kunnen blijven zitten op het MacOS ervoor of daarvoor omdat die OS en geen compatibiliteits problemen geven met 3rd party software en de meeste bugs eruit zijn.
Maar het is elk jaar raak, dat geloei over hoe lek apple is en zou zijn.
Nee, dus, alleen bij de introductie van een geheel nieuwe OS versie.
En ja, dat doet Apple zichzelf aan en ja, voor veel gebruikers hoeft het niet, maar dat is kennelijk het dwingende idee dat verandering goed is om bovenin de modieuze markt te blijven.
Voordeel is wel met een jaarlijkse verandering dat malware makers ook steeds moeten bijspijkeren.
Dat doen ze niet en daarom is er mede weinig malware voor MacOS.
Blijft over de horde onderzoekers die het werk van de malware makers en staatshackers hebben overgenomen: ze doen het voorwerk opdat vooral staatshackers (overheden) er hun voordeel mee kunnen doen.
De publiciteiststunts van wardle helpen dus vooral staatshackers, en dus ook de nsa.
NSa en wardle, een blijvend koppel.
Ik vraag mij af hoe die man zijn laptop beveiligd buiten de tools die hij publiceert.
Hij wil gewoon geld zien voor de gevonden bug, niks meer en niks minder.
Eikel.
Nee hij wilt dat APPLE het geld doneert aan het goede doel
Ik neem mijn woorden terug, bij het lezen van btw if anybody has a link to ????'s macOS bug bounty program I'd ???? to report this ging bij mij even het licht uit en las niet ver genoeg door other 0days -donating any payouts to charity????
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.