اكتشف مطور البرامج جيف جونسون ثغرة خصوصية في (macOS) تمنح المتسللين حق الوصول إلى الملفات الخاصة لمستخدم متصفح سفاري.

وتؤثر هذه المشكلة على الإصدار التجريبي من (macOS Big Sur)، وأخبر المطور شركة Apple عن الثغرة، لكنه ادعى أن الشركة تركت الخلل دون معالجة لأكثر من ستة أشهر.

ووصف المطور جهود الشركة بأنها تهدف إلى توفير الشعور بالأمان في حين أنها لا تفعل شيئًا لتحقيق ذلك.

ويبدو أن طريقة استغلال الثغرة مثيرة للقلق، إذ يمكن لمستخدم سفاري تنزيل ملف يبدو غير ضار من موقع ويب، مما يسمح للمهاجمين بتصميم نسخة معدلة من سفاري، التي يعاملها (macOS) بعد ذلك على أنها التطبيق الأصلي.

ويصبح أي ملف مقيد يمكن الوصول إليه من خلال سفاري متاحًا للمهاجم، الذي يمكنه أتمتة إرسال الملفات التي كان ينبغي أن تكون محمية لخادم المهاجم.

وأوضح جونسون، أن هذا الاستغلال ممكن لأن نظام حماية الخصوصية (TCC) من Apple يسمح بالاستثناءات التي تنظر فقط إلى معرف التطبيق، وليس المكان الذي يتم من خلاله تشغيل الملف.

ويتحقق النظام من توقيع الرمز للتطبيق فقط، مما يعني إمكانية تشغيل نسخة معدلة من سفاري من الدليل الخطأ دون تشغيل حماية (TCC).