Bug in Safari kann den Suchverlauf und andere Daten stehlen

Last updated 3. Dezember 2022

Ein Sicherheitsforscher hat eine gefährliche Schwachstelle in Safari entdeckt, und Apple hat die Veröffentlichung des Patches um fast ein Jahr verschoben.

Ein Sicherheitsforscher hat heute Einzelheiten zu einem Fehler im Safari-Browser veröffentlicht, der dazu verwendet werden könnte, Dateien von den Geräten der Benutzer zu verlieren oder zu stehlen.

Der Fehler wurde von Paweł Wilecial, Mitbegründer der polnischen Sicherheitsfirma REDTEAM.PL, entdeckt.

Der Forscher hatte den Fehler ursprünglich im April dieses Jahres an Apple gemeldet, aber der Forscher entschied sich, seine Ergebnisse heute zu veröffentlichen, nachdem der Betriebssystemhersteller die Behebung des Fehlers um fast ein Jahr bis zum Frühjahr 2021 verzögert hatte.

Wie der Fehler funktioniert

In einem Blogbeitrag sagte Wylecial, dass der Fehler mit der Implementierung der Safari Web Share API zusammenhängt , einem neuen Webstandard, der eine Cross-Browser-API zum Teilen von Text, Links, Dateien und anderen Inhalten einführt.

Der Sicherheitsforscher sagt, dass Safari (sowohl auf iOS als auch auf macOS) das Teilen von Dateien unterstützt, die auf der lokalen Festplatte des Benutzers gespeichert sind (über das URI-Schema file://).

Wenn also ein Benutzer Inhalte per E-Mail teilt, werden die lokalen Dateien des Benutzers an die E-Mail angehängt und zusammen mit dem Inhalt der E-Mail an den Angreifer gesendet. Dies können beispielsweise Dateien mit Browserverlauf oder Passwörtern sein.

Dieses Problem kann zu Situationen führen, in denen schädliche Webseiten Benutzer dazu verleiten können, einen Artikel per E-Mail zu teilen, am Ende aber heimlich Dateien vom Gerät herunterladen.

Um zu verstehen, wie der Fehler funktioniert, sehen Sie sich das Demo-Video unten an.

Sie können den Fehler auf zwei Demoseiten testen, die Safars /etc/passwd – Dateien oder Browserverlaufsdateien extrahieren können .

Wylecial beschrieb den Fehler als "nicht sehr schwerwiegend", da Benutzerinteraktion und komplexes Social Engineering erforderlich sind, um Benutzer dazu zu bringen, lokale Dateien aufzugeben; Er räumte jedoch auch ein, dass es für Angreifer ziemlich einfach sei, „eine freigegebene Datei für den Benutzer unsichtbar zu machen”.

Das eigentliche Problem hier ist jedoch nicht nur der Fehler selbst und wie einfach oder schwierig er auszunutzen ist, sondern wie Apple mit dem Fehlerbericht umgegangen ist.

Apple hat es nicht nur versäumt, nach mehr als vier Monaten rechtzeitig einen Patch zu produzieren, sondern versuchte auch, den Forscher mit der Veröffentlichung seiner Ergebnisse bis zum nächsten Frühjahr zu verzögern, fast ein Jahr nach dem Zeitpunkt, an dem der Fehler ursprünglich gemeldet wurde. Die Frist für die Offenlegung von Schwachstellen beträgt 90 Tage, was in der IT-Branche allgemein akzeptiert ist.

Situationen wie die, mit der Wylecial fertig werden musste, kommen heutzutage unter iOS- und macOS-Bug-Jägern immer häufiger vor.

Apple wird trotz der Ankündigung eines speziellen Bug-Bounty-Programms zunehmend beschuldigt, Fehler absichtlich zu verzögern und zu versuchen, Sicherheitsforscher zum Schweigen zu bringen.

Als beispielsweise Wilsial heute seinen Fehler meldete, berichteten andere Forscher von ähnlichen Situationen, in denen Apple die Behebung der von ihnen gemeldeten Sicherheitsfehler um mehr als ein Jahr verzögerte.

Als Apple im Juli die Regeln für das Security Research Device-Programm bekannt gab, weigerte sich das gepriesene Sicherheitsteam von Project Zero, daran teilzunehmen, und sagte, die Programmregeln seien speziell geschrieben worden, um die Offenlegung zu beschränken und Sicherheitsforscher über ihre Ergebnisse zum Schweigen zu bringen.