Программный инженер и разработчик Джефф Джонсон раскрыл уязвимость нулевого дня в системе управления приложениями (App Management) macOS Ventura. По словам Джонсона, Apple не предприняла никаких шагов для устранения проблемы в течение 10-ти месяцев после первоначального сообщения разработчика о недостатке.
Тернистый путь раскрытия уязвимости
В октябре прошлого года Джонсон обнаружилспособ обхода функции управления приложениями в macOS Ventura без необходимости получения полного доступа к диску и незамедлительно отправил информацию в Apple Product Security. Apple подтвердила получение отчета 21 октября, но не предприняла никаких действий. Через 10 месяцев, 19 августа 2023 года, Джонсон решил обнародовать информацию о уязвимости.
Проблемы с политикой безопасности Apple
Обычная практика предполагает, что разработчики уведомляют производителя о найденной уязвимости и ждут 60-120 дней для разработки и выпуска исправления. Однако, Джонсон публично поделился эксплойтом, потому что “потерял всякую уверенность в том, что Apple своевременно решит проблему”.
Еще одной заметной особенностью является отсутствие финансового вознаграждения от Apple. Джонсон подчеркнул, что, согласно политике компании, вознаграждения выплачиваются только после выпуска исправления, так что он “может ждать вечно, не получив ничего взамен”.
Технические подробности уязвимости
Уязвимость связана с песочницей приложений: Джонсон случайно обнаружил, что изолированное приложение в песочнице может изменять файлы, которые должны были быть защищены системой управления приложениями. Проблема распространяется даже на файлы, хранящиеся в пакетах подписанных приложений, которые должны были быть защищены.
Для демонстрации проблемы Джонсон предоставил пример проекта в Xcode, включающий исходный код для двух приложений. По словам специалиста, перезапись файла полностью обходит систему управления приложениями в macOS 13.5.1.
Раскрытие недостатка ставит под вопрос эффективность механизмов безопасности от Apple и готовность компании оперативно решать подобного рода проблемы. Пока неясно, когда компания предпримет действия для устранения уязвимости.
В 2020 году Джефф Джонсон раскрыл подробности об уязвимостях в macOS , которые позволяли обходить механизм защиты конфиденциальности. Спустя 6 месяцев после того, как Джонсон уведомил Apple о проблемах, компания так и не устранила их, и инженер решил сообщить о недостатках общественности.
А в августе 2023 года исследователь безопасности macOS Патрик Уордл представил результаты исследования, согласно которым встроенный в macOS инструмент обнаружения вредоносных программ Background Task Management содержит сразу несколько уязвимостей , которые позволяют обойти мониторинг автозапуска утилиты, тем самым снизив её эффективность.