Um bug descoberto em um desenvolvedor de interfaces de programação de aplicações (API) permite que aplicativos maliciosos sejam instalados no macOS Mojave. A falha de segurança dá acesso a uma pasta, que normalmente é protegida, da qual os invasores podem extrair dados de navegação do Safari.

Quem descobriu o erro foi Jeff Johnson, desenvolvedor do app Underpass Mac e iOS e da extensão para Safari StopTheMadness. O Mojave tem pastas com acesso restrito, mas foi notada essa vulnerabilidade. Johnson apontou que o sistema operacional fornece acesso a determinadas áreas para alguns aplicativos do sistema, como é o caso do Finder.

Ele relata, entretanto, que encontrou uma maneira de contornar as proteções de modo a permitir que alguns aplicativos encontrem dados dentro do Safari. “A obtenção dessas informações funciona sem precisar de qualquer permissão do sistema ou do usuário”, diz Johnson.

O desenvolvedor relatou o problema e detalhes da exploração para a equipe de segurança da Apple. Mesmo se tratando de uma vulnerabilidade não tão fácil de ser explorada, pela necessidade de baixar um app malicioso, ela chamou a atenção e vai ser considerada pela empresa.