苹果曝安全漏洞 允许恶意应用访问Safari记录

Mac和iOS开发人员表示，苹果的macOS Mojave中Safari浏览历史记录有一个安全漏洞，允许恶意应用程序进行完全访问。且波及所有的Mojave（macOS 10.14）版本，包括苹果于2月7日释出的macOS Mojave 10.14.3。

一名开发人员发现了这个缺陷：

Mojave仅为少数应用程序（如Finder）提供对此文件夹的特殊访问权限。但是，我发现了一种在Mojave中绕过这些保护的方法，允许应用程序在~/Library/Safari没有获得系统或用户的任何许可的情况下查看内部，并且没有权限对话框。通过这种方式，恶意软件应用程序可以通过检查他们的网络浏览历史秘密地侵犯用户的隐私。

这不是一个大问题，因为Mac沙盒应用程序（如Mac App Store中的应用程序）无法访问其容器外的文件夹，因此这些应用程序中的恶意代码无法利用这些内容。要产生这种风险，用户必须授权从其他地方下载的应用程序，这是应该只对信任的开发人员进行的操作。

这位开发人员表示他已经将Safari浏览历史漏洞的全部细节传递给苹果，但预计修复需要一些时间。

Mac和iOS开发人员表示，苹果的macOS Mojave中Safari浏览历史记录有一个安全漏洞，允许恶意应用程序进行完全访问。且波及所有的Mojave（macOS 10.14）版本，包括苹果于2月7日释出的macOS Mojave 10.14.3。

一名开发人员发现了这个缺陷：

Mojave仅为少数应用程序（如Finder）提供对此文件夹的特殊访问权限。但是，我发现了一种在Mojave中绕过这些保护的方法，允许应用程序在~/Library/Safari没有获得系统或用户的任何许可的情况下查看内部，并且没有权限对话框。通过这种方式，恶意软件应用程序可以通过检查他们的网络浏览历史秘密地侵犯用户的隐私。

这不是一个大问题，因为Mac沙盒应用程序（如Mac App Store中的应用程序）无法访问其容器外的文件夹，因此这些应用程序中的恶意代码无法利用这些内容。要产生这种风险，用户必须授权从其他地方下载的应用程序，这是应该只对信任的开发人员进行的操作。

这位开发人员表示他已经将Safari浏览历史漏洞的全部细节传递给苹果，但预计修复需要一些时间。