היזהר מהחדשות שמביאים לנו היום קולגות אפל לאבטחה. ככל הנראה, קבוצה של משתמשים טוענת שאם נספק את אישורי המנהל ליישום Dropbox for Mac, יכול להיות שיש לנו בעיית אבטחה חמורה באפליקציה.
כפי שהם מודיעים לנו, Dropbox יבקש לקבל גישה למנהל במחשב שלנווברגע שיש לו גישה זו, הוא יכול לגשת לכל פינה ב- Mac שלנו.
הכותרת לפחות מטרידה. אם מה שהודלף לעיתונות נכון, זה לא יועיל אם נמחק דרופבוקס (בהגדרות - אבטחה ופרטיות - פרטיות - נגישות, שם נמצאים היישומים שיכולים לשלוט במכשיר שלנו), מכיוון שהוא מאפשר לנו לבטל את ההרשאות האלה בלי בעיה. אבל הדבר המצחיק הוא שכאשר תפעיל מחדש את דרופבוקס, זה ייעשה שוב באותן ההרשאות ששללנו בעבר.
החברה הכחישה את ההאשמות החמורות שהופיעו סביב לקוח שלה עבור מק. למעשה, המחלוקת בין מפתחים זינקה. בעוד שחלקם מבטיחים זאת Dropbox עשתה מאמצים רבים להשיג את סיסמאות מנהל המערכת שלנו ל- Mac, אחרים טוענים כי סיסמאות אלה לעולם אינן מאוחסנות וכי אפל צריכה לתקשר טוב יותר את השימוש בהרשאות ליישומי צד שלישי.
הם חוזרים ומדגישים כי Dropbox משתמשת בטכניקה מבוססת SQL דרך מסד הנתונים TCC כדי לעקוף את מדיניות ההרשאה של אפל. הפגם הביטחוני התגלה ב /Library/ApplicationSupport/com.apple.TCC /TCC.db, כפי שאנו יכולים לראות להלן:
טכניקה זו בה השתמשה דרופבוקס כדי לעקוף את מדיניות האבטחה של החברה מבוססת קופרטינו, זה יכול לשמש גם סוגים שונים של תוכנות זדוניות. עם זאת, אנו מבינים כי מפתחי אפל יעבדו קשה על מנת לתקן באגים מסוג זה.
