애플은 9월 24일, 최신 macOS "Mojave(모하비)"를 공개했다. 개선점이나 새로운 기능이 포함되어 있으며, 애플은 사용자의 프라이버시를 최우선으로 생각하고 있음을 강조했다.
이번 Mojave에서 주목해야 할 것은, 개인 정보 보호 및 보안이 강화 된 것이다. "Intelligent Tracking Prevention" 기능에서는, 광고주가 사파리의 데이터를 악용하지 못하도록 하고있다. 강력한 암호를 생성, 관리하기 위한 도구가 탑재되어, 앱이 메일 등의 민감한 정보를 얻고자하는 경우에는, 사용자의 동의가 필요하게 되었다.
하지만, 새로운 기능도 만능이 아니라는 것을 보안 전문가가 발견했다.
보안 기업 "Digita Security"의 Patrick Vardle은 Mojave의 개인 정보 보호 기능을 우회하는 방법을 찾아냈다. Vimeo에 게시 된 동영상에서는, Mojave에서는 액세스 할 수 없었던 주소록 데이터에 액세스하는 모습이 비추어지고 있다.
Wardle이 먼저 주소록에 액세스하려고하면, 허용할지 여부를 묻는 팝업이 나온다. 그래서 "허용하지 않음"을 클릭하면 "권한이없는 작업"이라는 메시지가 표시되고, 액세스가 거부된다. 그러나 그 후, 자체 스크립트를 사용하여 무단으로 백도어로부터 액세스하고, 이름과 주소를 추출하는 모습이 동영상에 찍혀있다.
보안 관련 사이트 "BleepingComputer"에 Wardle이 밝힌 바에 따르면, 주소록에 무단으로 액세스 할 수 있었던 것은 "마이너하면서도 확실한(애플의) 구현 결함"을 악용 한 것이다. 사용한 코드는 공개하고 있지 않지만, 11월에 열리는 보안 컨퍼런스 "Objective By the Sea"로 프레젠테이션을 할 예정이다.
또한 이번 수법은 "만능 인 우회 방법"이 아니라고 테크 크런치는 말했지만, 보호되어야 할 정보에 대한 악성 코드에 의한 부정 액세스를 허용 할 수도있다.
문제가 부상 했으니 애플이 패치를 만들 것이다. 그렇지 않으면, Mojave에 도입 된 개인 정보 보호 기능은, 어떠한 상황에서도 안전하다고 목소리를 높여 자랑 할 것이 없게된다. 애플에 코멘트를 요구했지만, 아직 대답은 없다고 한다.
