Safarin virhe voi varastaa hakuhistorian ja muita tietoja

Viimeisin päivitys joulu 3, 2022

Tietoturvatutkija on havainnut vaarallisen haavoittuvuuden Safarista, ja Apple on viivästyttänyt korjaustiedoston julkaisua lähes vuodella.

Tietoturvatutkija julkaisi tänään yksityiskohtia Safari-selainvirheestä, jota voidaan käyttää tiedostojen vuotamiseen tai varastamiseen käyttäjien laitteista.

Vian havaitsi Paweł Wilecial, puolalaisen turvallisuusyrityksen REDTEAM.PL:n perustaja.

Tutkija ilmoitti virheestä alun perin Applelle aiemmin tänä keväänä huhtikuussa, mutta tutkija päätti julkistaa havaintonsa tänään, kun käyttöjärjestelmän valmistaja viivästytti vian korjaamista lähes vuodella, kevääseen 2021 asti.

Kuinka bugi toimii

Wylecial kertoi blogikirjoituksessaan, että virhe liittyy Safari Web Share API :n käyttöönottoon, uuteen verkkostandardiin, joka ottaa käyttöön selaimen rajat ylittävän sovellusliittymän tekstin, linkkien, tiedostojen ja muun sisällön jakamiseen.

Tietoturvatutkija sanoo, että Safari (sekä iOS:ssä että macOS:ssä) tukee käyttäjän paikalliselle kiintolevylle tallennettujen tiedostojen jakamista (file:// URI-järjestelmän kautta).

Siten, kun käyttäjä jakaa sisältöä sähköpostitse, käyttäjän paikalliset tiedostot liitetään sähköpostiin ja lähetetään hyökkääjälle yhdessä sähköpostin sisällön kanssa. Tällaisia voivat olla esimerkiksi selaushistorian tai salasanat sisältävät tiedostot.

Tämä ongelma voi johtaa tilanteisiin, joissa haitalliset verkkosivut voivat huijata käyttäjiä jakamaan artikkelin sähköpostitse, mutta päätyä lataamaan salaa tiedostoja laitteesta.

Ymmärtääksesi, miten bugi toimii, katso alla oleva esittelyvideo.

Voit testata vian kahdella esittelysivulla, jotka voivat purkaa Safarin /etc/passwd – tiedostoja tai selaimen historiatiedostoja.

Wylecial kuvaili virhettä "ei kovin vakavaksi", koska käyttäjän vuorovaikutusta ja monimutkaista sosiaalista suunnittelua tarvitaan huijatakseen käyttäjiä luopumaan paikallisista tiedostoista. Hän kuitenkin myönsi myös, että hyökkääjien oli melko helppoa "tehdä jaettu tiedosto käyttäjälle näkymättömäksi".

Todellinen ongelma ei kuitenkaan ole vain itse virhe ja kuinka helppoa tai vaikeaa sitä on hyödyntää, vaan se, miten Apple käsitteli virheraportin.

Apple ei vain epäonnistunut tuottamaan korjaustiedostoa ajoissa yli neljän kuukauden jälkeen, vaan yritti myös viivyttää tutkijan tulosten julkaisemista ensi kevääseen, melkein vuoden kuluttua siitä, kun vika alun perin ilmoitettiin. Haavoittuvuuksien paljastamisen määräaika on 90 päivää, mikä on laajalti hyväksyttyä tietotekniikkateollisuudessa.

Sellaiset tilanteet, joita Wylecial joutui käsittelemään, ovat yleistymässä iOS- ja macOS-vikametsästäjien keskuudessa nykyään.

Huolimatta omistetun bugipalkkioohjelman julkistamisesta Applea syytetään yhä useammin virheiden tahallisesta viivytyksestä ja tietoturvatutkijoiden hiljentämisestä.

Esimerkiksi kun Wilsial ilmoitti bugistaan tänään, muut tutkijat raportoivat samankaltaisista tilanteista, joissa Apple viivytti ilmoittamiensa tietoturvavirheiden korjaamista yli vuoden.

Kun Apple julkisti Security Research Device -ohjelman säännöt heinäkuussa, kehuttu Project Zero -turvatiimi kieltäytyi osallistumasta sanoen, että ohjelman säännöt oli erityisesti kirjoitettu rajoittamaan julkisuutta ja vaientamaan tietoturvatutkijat löydöistään.