Turvauurija avastas Safaris ohtliku haavatavuse ja Apple lükkas plaastri väljalaskmise pea aasta võrra edasi.
Turvateadlane avaldas täna üksikasjad Safari brauseri vea kohta, mida võib kasutada kasutajate seadmetest failide lekitamiseks või varastamiseks.
Vea avastas Poola turvafirma REDTEAM.PL kaasasutaja Paweł Wilecial.
Teadlane teatas veast Apple’ile algselt selle aasta kevadel aprillis, kuid teadlane otsustas oma leiud täna avalikustada, kuna OS-i tootja lükkas vea parandamisega edasi peaaegu aasta, kuni 2021. aasta kevadeni.
Kuidas viga töötab
Ajaveebipostituses ütles Wylecial, et viga on seotud Safari Web Share API juurutamisega – uue veebistandardiga, mis tutvustab teksti, linkide, failide ja muu sisu jagamiseks brauseriülese API-t.
Turvauurija ütleb, et Safari (nii iOS-is kui ka macOS-is) toetab kasutaja kohalikule kõvakettale salvestatud failide jagamist (file:// URI skeemi kaudu).
Seega, kui kasutaja jagab sisu meili teel, manustatakse meilile kasutaja kohalikud failid ja saadetakse koos meili sisuga ründajale. Need võivad olla näiteks sirvimisajaloo või paroolidega failid.
See probleem võib põhjustada olukordi, kus pahatahtlikud veebilehed võivad meelitada kasutajaid artiklit e-posti teel jagama, kuid lõpuks laadivad failid seadmest salaja alla.
Vea toimimise mõistmiseks vaadake allolevat demovideot.
Saate testida viga kahel demolehel, mis suudavad ekstraktida Safari /etc/passwd – faile või brauseri ajaloofaile.
Wylecial kirjeldas viga kui "mitte tõsist", kuna kasutajate suhtlemist ja keerulist sotsiaalset manipuleerimist on vaja, et meelitada kasutajaid kohalikest failidest loobuma; samas tunnistas ta ka, et ründajatel oli üsna lihtne "jagatud faili kasutajale nähtamatuks muuta".
Tõeline probleem pole siin aga mitte ainult viga ise ja see, kui lihtne või raske on seda ära kasutada, vaid see, kuidas Apple veaaruannet käsitles.
Apple mitte ainult ei suutnud enam kui nelja kuu pärast plaastrit õigel ajal toota, vaid püüdis ka teadlasel oma tulemuste avaldamist järgmise kevadeni edasi lükata, peaaegu aasta aega alates veast teatamisest. Turvaaukude avalikustamise tähtaeg on 90 päeva, mis on infotehnoloogiatööstuses laialdaselt aktsepteeritud.
Sellised olukorrad, millega Wylecial pidi tegelema, on tänapäeval iOS-i ja macOS-i veaküttide seas üha tavalisemad.
Vaatamata sellele, et Apple on välja kuulutanud spetsiaalse veatoetuse programmi, süüdistatakse seda üha enam vigade tahtlikus viivitamises ja turvauurijate vaigistamises.
Näiteks kui Wilsial täna oma veast teatas, teatasid teised teadlased sarnastest olukordadest, kus Apple viivitas nende teatatud turvavigade parandamisega rohkem kui aasta.
Kui Apple teatas juulis programmi Security Research Device reeglitest, keeldus kiidetud Project Zero turbemeeskond osalemast, öeldes, et programmi reeglid on spetsiaalselt koostatud selleks, et piirata avalikkust ja vaigistada turbeteadlasi nende leidude kohta.