En säkerhetsforskare har upptäckt en farlig sårbarhet i Safari, och Apple har försenat lanseringen av patchen med nästan ett år.
En säkerhetsforskare släppte idag detaljer om en Safari-webbläsarbugg som kan användas för att läcka eller stjäla filer från användarnas enheter.
Felet upptäcktes av Paweł Wilecial, medgrundare av det polska säkerhetsföretaget REDTEAM.PL.
Forskaren rapporterade ursprungligen felet till Apple tidigare i vår i april, men forskaren bestämde sig för att offentliggöra sina resultat idag efter att OS-tillverkaren dröjde med att åtgärda felet med nästan ett år, till våren 2021.
Hur buggen fungerar
I ett blogginlägg sa Wylecial att buggen är relaterad till implementeringen av Safari Web Share API, en ny webbstandard som introducerar en cross-browser API för att dela text, länkar, filer och annat innehåll.
Säkerhetsforskaren säger att Safari (på både iOS och macOS) stöder delning av filer som är lagrade på användarens lokala hårddisk (via file:// URI-schemat).
Således, när en användare delar innehåll via e-post, bifogas användarens lokala filer till e-postmeddelandet och skickas till angriparen tillsammans med innehållet i e-postmeddelandet. Det kan till exempel vara filer med webbhistorik eller lösenord.
Det här problemet kan leda till situationer där skadliga webbsidor kan lura användare att dela en artikel via e-post, men i hemlighet laddar ner filer från enheten.
För att förstå hur buggen fungerar, titta på demovideon nedan.
Du kan testa buggen på två demosidor som kan extrahera Safars /etc/passwd – filer eller webbläsarhistorikfiler.
Wylecial beskrev felet som "inte särskilt allvarligt", eftersom användarinteraktion och komplex social ingenjörskonst behövs för att lura användare att ge upp lokala filer; men han erkände också att det var ganska lätt för angripare att "göra en delad fil osynlig för användaren".
Det verkliga problemet här är dock inte bara själva felet och hur lätt eller svårt det är att utnyttja, utan hur Apple hanterade felrapporten.
Apple misslyckades inte bara med att producera en patch i tid efter mer än fyra månader, utan försökte också fördröja forskaren från att publicera sina resultat till nästa vår, nästan ett år från det att felet ursprungligen rapporterades. Tidsfristen för avslöjande av sårbarheter är 90 dagar, vilket är allmänt accepterat inom IT-branschen.
Situationer som den som Wylecial var tvungen att hantera blir allt vanligare bland iOS- och macOS-buggjägare i dessa dagar.
Apple, trots att de tillkännager ett dedikerat program för buggstöd, anklagas alltmer för att medvetet försena buggar och försöka tysta säkerhetsforskare.
Till exempel, när Wilsial rapporterade sin bugg idag, rapporterade andra forskare liknande situationer där Apple dröjde med att åtgärda säkerhetsbuggarna de rapporterade i mer än ett år.
När Apple tillkännagav reglerna för programmet Security Research Device i juli, vägrade det hyllade säkerhetsteamet Project Zero att delta och sa att programreglerna var specifikt skrivna för att begränsa offentliggörandet och tysta säkerhetsforskare om deras resultat.