Un ricercatore di sicurezza ha scoperto una pericolosa vulnerabilità in Safari e Apple ha ritardato il rilascio della patch di quasi un anno.
Un ricercatore di sicurezza ha rilasciato oggi i dettagli di un bug del browser Safari che potrebbe essere utilizzato per far trapelare o rubare file dai dispositivi degli utenti.
Il bug è stato scoperto da Paweł Wilecial, co-fondatore della società di sicurezza polacca REDTEAM.PL.
Il ricercatore ha originariamente segnalato il bug ad Apple all’inizio di questa primavera di aprile, ma il ricercatore ha deciso di rendere pubbliche le sue scoperte oggi dopo che il produttore del sistema operativo ha ritardato la correzione del bug di quasi un anno, fino alla primavera del 2021.
Come funziona il bug
In un post sul blog, Wylecial ha affermato che il bug è correlato all’implementazione dell’API Safari Web Share, un nuovo standard Web che introduce un’API cross-browser per la condivisione di testo, collegamenti, file e altri contenuti.
Il ricercatore di sicurezza afferma che Safari (sia su iOS che su macOS) supporta la condivisione di file archiviati sul disco rigido locale dell’utente (tramite lo schema file:// URI).
Pertanto, quando un utente condivide il contenuto tramite e-mail, i file locali dell’utente vengono allegati all’e-mail e inviati all’aggressore insieme al contenuto dell’e-mail. Questi possono essere, ad esempio, file con cronologia di navigazione o password.
Questo problema può portare a situazioni in cui le pagine Web dannose possono indurre gli utenti a condividere un articolo tramite e-mail, ma finiscono per scaricare segretamente file dal dispositivo.
Per capire come funziona il bug, guarda il video dimostrativo qui sotto.
Puoi testare il bug su due pagine demo che possono estrarre i file /etc/passwd di Safar o i file della cronologia del browser.
Wylecial ha descritto il bug come "non molto serio", poiché sono necessarie l’interazione dell’utente e una complessa ingegneria sociale per indurre gli utenti a rinunciare ai file locali; tuttavia, ha anche riconosciuto che era abbastanza facile per gli aggressori "rendere invisibile all’utente un file condiviso".
Tuttavia, il vero problema qui non è solo il bug stesso e quanto sia facile o difficile da sfruttare, ma come Apple ha gestito la segnalazione del bug.
Apple non solo non è riuscita a produrre una patch in tempo dopo più di quattro mesi, ma ha anche cercato di ritardare la pubblicazione dei risultati da parte del ricercatore fino alla prossima primavera, quasi un anno dal momento in cui il bug è stato originariamente segnalato. Il termine per la divulgazione delle vulnerabilità è di 90 giorni, che è ampiamente accettato nel settore della tecnologia dell’informazione.
Situazioni come quella che Wylecial ha dovuto affrontare stanno diventando sempre più comuni tra i cacciatori di bug iOS e macOS in questi giorni.
Apple, nonostante abbia annunciato un programma di bug bounty dedicato, è sempre più accusata di ritardare deliberatamente i bug e di cercare di mettere a tacere i ricercatori di sicurezza.
Ad esempio, quando Wilsial ha segnalato il suo bug oggi, altri ricercatori hanno segnalato situazioni simili in cui Apple ha ritardato la correzione dei bug di sicurezza segnalati per più di un anno.
Quando Apple ha annunciato le regole per il programma Security Research Device a luglio, il decantato team di sicurezza di Project Zero si è rifiutato di partecipare, affermando che le regole del programma sono state specificamente scritte per limitare la divulgazione pubblica e mettere a tacere i ricercatori di sicurezza sulle loro scoperte.