За допомогою бага в Safari можна вкрасти історію пошуку та інші дані

Останнє оновлення Гру 1, 2022

Дослідник із безпеки виявив небезпечну вразливість у Safari, а Apple відклала випуск патчу майже на рік.

Дослідник безпеки опублікував сьогодні подробиці про помилку браузера Safari, яка може використовуватися для витоку або крадіжки файлів з пристроїв користувачів.

Помилка була виявлена Павлом Вілєціалом, співзасновником польської охоронної фірми REDTEAM.PL.

Спочатку дослідник повідомив про помилку Apple раніше цієї весни, у квітні, але дослідник вирішив оприлюднити свої результати сьогодні після того, як виробник ОС відклав виправлення помилки майже на рік, до весни 2021 року.

Як працює баг

У своєму повідомленні у блозі Wylecial сказав, що помилка пов’язана з реалізацією Safari Web Share API – нового веб-стандарту, який представляє кросбраузерний API для обміну текстом, посиланнями, файлами та іншим контентом.

Дослідник безпеки каже, що Safari (як на iOS, так і на macOS) підтримує спільне використання файлів, що зберігаються на локальному жорсткому диску користувача (через схему URI file: //).

Таким чином, коли користувач ділиться контентом електронною поштою, до листа прикріплюються його локальні файли, які разом з одержимими листами надсилаються зловмиснику. Це можуть бути, наприклад, файли з історією браузингу або паролями.

Ця проблема може призвести до ситуацій, коли шкідливі веб-сторінки можуть обманним шляхом змушувати користувачів поділитися статтею електронною поштою, але зрештою таємно перекачують файли з пристрою.

Щоб зрозуміти, як працює баг, перегляньте демонстраційне відео нижче.

Протестувати баг можна на двох демонстраційних сторінках, які можуть використовувати файли /etc/passwd користувача Safar або файли історії браузера.

Wylecial описав помилку як «не дуже серйозну», оскільки взаємодія з користувачем та складна соціальна інженерія необхідні для того, щоб обманом змусити користувачів видати локальні файли; однак він також визнав, що зловмисникам було досить легко зробити спільний файл невидимим для користувача.

Однак реальна проблема тут не тільки в самій помилці і в тому, наскільки легко або складно її використовувати, але й у тому, як Apple опрацювала звіт про помилку.

Apple не тільки не змогла вчасно підготувати патч за чотири місяці, але й спробувала затримати дослідника з публікацією його результатів до наступної весни, майже на рік з моменту початкового звіту про помилку. Крайній термін розкриття вразливостей 90 днів, що прийнято у промисловості інформаційних технологій.

Ситуації, подібні до тієї, з якою довелося зіткнутися Wylecial, у наші дні стають все більш поширеними серед мисливців за помилками iOS та macOS.

Apple, незважаючи на анонсування спеціальної програми заохочення помилок, все частіше звинувачують у навмисній затримці помилок та спробах змусити замовкнути дослідників безпеки.

Наприклад, коли сьогодні Уайлсіал повідомив про свою помилку, інші дослідники повідомили про схожі ситуації, коли Apple відкладала виправлення помилок безпеки, про які вони повідомляли, більш ніж на рік.

Коли в липні Apple оголосила про правила програми Security Research Device, хвалена команда безпеки Project Zero відмовилася брати участь, заявивши, що правила програми були спеціально написані, щоб обмежити публічне розкриття інформації та змусити замовкнути дослідників безпеки про свої висновки.