W świecie technologii, gdzie innowacje i bezpieczeństwo idą w parze, od czasu do czasu pojawiają się raporty o lukach w systemach zabezpieczeń.
Ostatnio na światło dzienne wyszła istotna informacja dotycząca luk w systemie macOS Ventura. Jeff Johnson, który ujawnił te informacje nie jest nowicjuszem w dziedzinie badań nad zabezpieczeniami. W ciągu ostatnich lat wielokrotnie zgłaszał różne nieścisłości i luki w różnych systemach i aplikacjach. Jego analizy były niejednokrotnie przyjmowane z uznaniem, co wskazuje na jego rzetelność i profesjonalizm.
Podczas badania funkcji zarządzania aplikacjami w systemie macOS Ventura, Johnson natknął się na coś, co zdawało się być potencjalnym zagrożeniem. Jego analiza wykazała, że istnieje możliwość obchodzenia pewnych mechanizmów zarządzania, co w praktyce oznacza brak pełnego zabezpieczenia. Kluczowym elementem było to, że luka ta nie wymagała kompletnego dostępu do dysku, co sprawia, że jej wykorzystanie jest potencjalnie prostsze.
Po identyfikacji problemu, Johnson skierował swoje ustalenia do zespołu Apple odpowiedzialnego za bezpieczeństwo produktów. Oczekiwał, że firma podejmie szybkie działania w celu naprawy. Apple potwierdziło odbiór zgłoszenia, ale przez kolejne miesiące nie podjęto żadnych kroków w kierunku rozwiązania problemu.
W branży IT przyjęło się, że po zgłoszeniu luki bezpieczeństwa, firma ma pewien okres czasu (często 60-120 dni) na wydanie poprawki, zanim informacje zostaną upublicznione. Jednak w przypadku Johnsona, pomimo upływu niemal roku, Apple nie zaproponowało rozwiązania. Z frustracji wynikającej z braku reakcji, programista postanowił upublicznić swoje ustalenia. Twierdzi, że stracił zaufanie do firmy w kontekście odpowiedniego zarządzania zagrożeniami bezpieczeństwa.
Podstawą problemu był (sandbox) aplikacji, mechanizm, który izoluje działania aplikacji w systemie. Johnson zauważył, że aplikacja ma zdolność edycji plików, do których teoretycznie nie powinna mieć dostępu. To odkrycie jest szczególnie niepokojące, gdyż wskazuje na poważne braki w systemie zabezpieczeń Apple.
Warto dodać, że to nie pierwszy raz, gdy Johnson identyfikuje luki w produktach Apple. Wcześniej, w 2020 roku, dla systemu macOS Mojave, zidentyfikował inne zagrożenie, które miało potencjał omijania istniejących zabezpieczeń.
Odkrycie Jeffa Johnsona rzuca cień na reputację Apple jako firmy stawiającej na czoło bezpieczeństwo swoich produktów. Ważne jest, by duże korporacje technologiczne zachowywały transparentność w swoich działaniach i utrzymywały otwartą komunikację z niezależnymi badaczami. W przeciwnym razie, użytkownicy mogą zostać narażeni na niepotrzebne ryzyko, a zaufanie do marki zostanie zachwiane.
