新的未修补macOS漏洞允许应用程序监视您的Safari浏览历史记录

应用程序开发人员Jeff Johnson于2月8日发现了该漏洞，在撰写本文时该漏洞尚未修补，并影响了macOS Mojave的所有版本，包括2月7日发布的macOS Mojave 10.14.3补充更新。

macOS Mojave中的某些文件夹具有默认禁止的受限访问权限，如~/Library/Safari，只有少数应用程序（如Finder）可以访问这些文件夹。

然而，约翰逊在莫哈韦发现了一种绕过这些限制的方法，允许应用程序在不需要用户或系统许可的情况下访问~/Library/Safari，并读取用户的网络浏览历史。

约翰逊在上周发表的一篇博文中说：“我的旁路在启用‘强化运行时’的情况下工作”。

“因此，一个能够监视Safari的应用程序可以被苹果‘公证’（只要它通过了他们的自动恶意软件检查，我怀疑这不会有问题）。据我所知，我的旁路不适用于沙盒应用程序”。

由于该漏洞已经向苹果公司报告，并且至少在Mojave的下一次正式发布之前不会得到补丁，约翰逊决定在该漏洞得到解决之前不发布技术细节。
约翰逊还澄清说，他发现的隐私保护旁路与Safari扩展完全无关，因为该问题会影响受限文件夹，因此可能会影响macOS系统上的所有受限文件夹，包括~/Library/Safari。

由于该问题存在于苹果在macOS Mojave 10.14中引入的新隐私保护功能中，因此在Mac电脑上运行High Sierra的苹果用户不会受到该漏洞的影响。

一旦我们从研究人员那里听到更多关于该漏洞的信息，我们将立即更新本文。敬请期待！