今回のMojaveで注目すべきは、プライバシー保護とセキュリティ―が強化されたことだ。「Intelligent Tracking Prevention」機能では、広告主がサファリのデータを悪用できないようにしている。堅牢なパスワードを生成・管理するためのツールが搭載され、アプリがメールなどのセンシティブな情報を得ようとする場合には、ユーザーの同意が必要になった。
だが、新機能も万能ではないことをセキュリティ専門家が発見した。
セキュリティ企業「Digita Security」のPatrick WardleはMojaveのプライバシー保護機能をバイパス(迂回)する方法を見つけた。Vimeoに投稿された動画では、Mojaveではアクセスできないはずのアドレス帳のデータにアクセスする様子が映し出されている。
Wardleがまずアドレス帳にアクセスしようとすると、許可するかどうかを問うポップアップが出る。そこで「許可しない」をクリックすると「許可のない操作」というメッセージが表示され、アクセスが拒否される。しかしその後、独自のスクリプトを使って許可なくバックドアからアクセスし、名前とアドレスを抽出する様子が動画には映っている。
セキュリティ関連サイト「BleepingComputer」にWardleが語ったところによると、アドレス帳に不正にアクセスできたことは「マイナーながらも確実な(アップルの)実装の欠陥」を悪用したものだ。使ったコードは公開していないが、11月に行われるセキュリティカンファレンス「 Objective By The Sea」でプレゼンテーションを行う予定だという。
さらに今回の手口は「万能なバイパス方法」ではないとテッククランチに語ったが、保護されるべき情報へのマルウェアによる不正アクセスを許してしまう恐れもある。
問題が浮上したからにはアップルがパッチを作成するだろう。さもないと、Mojaveに導入されたプライバシー保護機能は、いかなる状況でも安全であると声を大にして自慢できるものではなくなる。アップルにコメントを求めたが、返答は得られなかった。
