Un bogue dans Safari peut voler l’historique de recherche et d’autres données
Un chercheur en sécurité a découvert une vulnérabilité dangereuse dans Safari et Apple a retardé la publication du correctif de près d’un an.
Un chercheur en sécurité a publié aujourd’hui les détails d’un bogue du navigateur Safari qui pourrait être utilisé pour divulguer ou voler des fichiers sur les appareils des utilisateurs.
Le bogue a été découvert par Paweł Wilecial, co-fondateur de la société de sécurité polonaise REDTEAM.PL.
Le chercheur a initialement signalé le bogue à Apple au début du printemps en avril, mais le chercheur a décidé de rendre ses conclusions publiques aujourd’hui après que le fabricant du système d’exploitation ait retardé la correction du bogue de près d’un an, jusqu’au printemps 2021.
Comment fonctionne le bogue
Dans un article de blog, Wylecial a déclaré que le bogue était lié à la mise en œuvre de l’ API Safari Web Share, une nouvelle norme Web qui introduit une API multi-navigateurs pour partager du texte, des liens, des fichiers et d’autres contenus.
Le chercheur en sécurité affirme que Safari (sur iOS et macOS) prend en charge le partage de fichiers stockés sur le disque dur local de l’utilisateur (via le schéma file://URI).
Ainsi, lorsqu’un utilisateur partage du contenu par e-mail, les fichiers locaux de l’utilisateur sont joints à l’e-mail et envoyés à l’attaquant avec le contenu de l’e-mail. Il peut s’agir, par exemple, de fichiers contenant un historique de navigation ou des mots de passe.
Ce problème peut conduire à des situations où des pages Web malveillantes peuvent inciter les utilisateurs à partager un article par e-mail, mais finissent par télécharger secrètement des fichiers depuis l’appareil.
Pour comprendre le fonctionnement du bogue, regardez la vidéo de démonstration ci-dessous.
Vous pouvez tester le bogue sur deux pages de démonstration qui peuvent extraire les fichiers /etc/passwd ou les fichiers d’historique du navigateur de Safar .
Wylecial a décrit le bogue comme "pas très grave", car une interaction utilisateur et une ingénierie sociale complexe sont nécessaires pour inciter les utilisateurs à abandonner les fichiers locaux; cependant, il a également reconnu qu’il était assez facile pour les attaquants de "rendre un fichier partagé invisible pour l’utilisateur".
Cependant, le vrai problème ici n’est pas seulement le bogue lui-même et sa facilité ou sa difficulté à l’exploiter, mais la façon dont Apple a géré le rapport de bogue.
Apple a non seulement échoué à produire un correctif à temps après plus de quatre mois, mais a également tenté de retarder la publication de ses résultats par le chercheur jusqu’au printemps prochain, près d’un an après le signalement initial du bogue. Le délai de divulgation des vulnérabilités est de 90 jours, ce qui est largement accepté dans l’industrie des technologies de l’information.
Des situations comme celle à laquelle Wylecial a dû faire face sont de plus en plus courantes chez les chasseurs de bogues iOS et macOS de nos jours.
Apple, malgré l’annonce d’un programme de primes de bogues dédié, est de plus en plus accusé de retarder délibérément les bogues et d’essayer de faire taire les chercheurs en sécurité.
Par exemple, lorsque Wilsial a signalé son bogue aujourd’hui, d’autres chercheurs ont signalé des situations similaires dans lesquelles Apple a retardé la correction des bogues de sécurité qu’ils ont signalés pendant plus d’un an.
Lorsqu’Apple a annoncé les règles du programme Security Research Device en juillet, la fameuse équipe de sécurité de Project Zero a refusé de participer, affirmant que les règles du programme avaient été spécifiquement rédigées pour limiter la divulgation publique et faire taire les chercheurs en sécurité au sujet de leurs découvertes.