Wylecial relatou inicialmente o bug para a Apple no início desta primavera, em abril, mas o pesquisador decidiu divulgar suas descobertas hoje, depois que o fabricante do sistema operacional adiou a correção do bug por quase um ano, até a primavera de 2021.
Em uma postagem do blog hoje, Wylecial disse que o bug reside na implementação do Safari da API Web Share – um novo padrão da web que introduziu uma API entre navegadores para compartilhar texto, links, arquivos e outros conteúdos.
O pesquisador de segurança afirma que o Safari (no iOS e no macOS) oferece suporte ao compartilhamento de arquivos armazenados no disco rígido local do usuário ( por meio do esquema file: // URI ).
Este é um grande problema de privacidade, pois pode levar a situações em que páginas da web maliciosas podem convidar usuários a compartilhar um artigo por e-mail com seus amigos, mas acabam secretamente desviando ou vazando um arquivo de seus dispositivos.
Veja o vídeo abaixo para uma demonstração do bug ou brinque com essas duas páginas de demonstração que podem roubar o arquivo /etc/passwd do usuário do Safari ou arquivos de banco de dados de histórico do navegador .
Wylecial descreveu o bug como “não muito sério”, já que a interação do usuário e uma complexa engenharia social são necessárias para induzir os usuários a vazar arquivos locais; no entanto, ele também admitiu que também era muito fácil para os invasores “tornar o arquivo compartilhado invisível para o usuário”.
No entanto, o verdadeiro problema aqui não é apenas o bug em si e quão fácil ou complexo é explorá-lo, mas como a Apple tratou o relatório de bug.
A Apple não apenas deixou de ter um patch pronto a tempo depois de mais de quatro meses, mas a empresa também tentou atrasar o pesquisador de publicar suas descobertas até a próxima primavera, quase um ano inteiro desde o relatório de bug original, e muito além do padrão Prazo de divulgação de vulnerabilidade de 90 dias, amplamente aceito na indústria de infosec.
Situações como a que Wylecial teve de enfrentar estão se tornando cada vez mais comuns entre os caçadores de bug do iOS e do macOS atualmente.
A Apple – apesar de anunciar um programa de recompensa de bugs dedicado – está sendo cada vez mais acusada de atrasar bugs propositalmente e de tentar silenciar os pesquisadores de segurança.
Por exemplo, quando Wylecial revelou seu bug na manhã de hoje, outros pesquisadores relataram situações semelhantes em que a Apple atrasou a correção de bugs de segurança relatados por mais de um ano.
Quando, em julho, a Apple anunciou as regras do programa Security Research Device, a alardeada equipe de segurança Project Zero do Google se recusou a participar , alegando que as regras do programa foram escritas especificamente para limitar a divulgação pública e amordaçar os pesquisadores de segurança sobre suas descobertas.
Três meses antes, em abril, outro pesquisador de segurança também relatou uma experiência semelhante com o programa de recompensa de bugs da Apple, que ele descreveu como “uma piada”, descrevendo o objetivo do programa como tentar “manter os pesquisadores calados sobre bugs pelo maior tempo possível”.
Um porta-voz da Apple reconheceu nosso pedido de comentário na manhã de hoje, mas disse que a empresa não poderia comentar, pois precisava investigar mais.
Fonte: https://www.zdnet.com/article/security-researcher-discloses-safari-bug-after-apples-delays-patch
Uma cidade na Carolina do Norte e um escritório de advogados distritais cobrindo quatro condados…
O surgimento da Nytheon AI marca uma escalada significativa no cenário das plataformas (LLM) de…
Um pesquisador de segurança revelou uma vulnerabilidade crítica de injeção de SOQL no controlador interno…
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…