Pesquisador de segurança divulga bug do Safari após Apple demorar na correção

Wylecial relatou inicialmente o bug para a Apple no início desta primavera, em abril, mas o pesquisador decidiu divulgar suas descobertas hoje, depois que o fabricante do sistema operacional adiou a correção do bug por quase um ano, até a primavera de 2021.

COMO FUNCIONA O BUG

Em uma  postagem do blog  hoje, Wylecial disse que o bug reside na implementação do Safari da  API Web Share  – um novo padrão da web que introduziu uma API entre navegadores para compartilhar texto, links, arquivos e outros conteúdos.

O pesquisador de segurança afirma que o Safari (no iOS e no macOS) oferece suporte ao compartilhamento de arquivos armazenados no disco rígido local do usuário ( por meio do esquema file: // URI ).

Este é um grande problema de privacidade, pois pode levar a situações em que páginas da web maliciosas podem convidar usuários a compartilhar um artigo por e-mail com seus amigos, mas acabam secretamente desviando ou vazando um arquivo de seus dispositivos.

Veja o vídeo abaixo para uma demonstração do bug ou brinque com essas duas páginas de demonstração que podem roubar o arquivo /etc/passwd do usuário do Safari ou arquivos de banco de dados de histórico do navegador .

Wylecial descreveu o bug como “não muito sério”, já que a interação do usuário e uma complexa engenharia social são necessárias para induzir os usuários a vazar arquivos locais; no entanto, ele também admitiu que também era muito fácil para os invasores “tornar o arquivo compartilhado invisível para o usuário”.

CRÍTICAS RECENTES AO TRATAMENTO DE PATCHES DA APPLE

No entanto, o verdadeiro problema aqui não é apenas o bug em si e quão fácil ou complexo é explorá-lo, mas como a Apple tratou o relatório de bug.

A Apple não apenas deixou de ter um patch pronto a tempo depois de mais de quatro meses, mas a empresa também tentou atrasar o pesquisador de publicar suas descobertas até a próxima primavera, quase um ano inteiro desde o relatório de bug original, e muito além do padrão Prazo de divulgação de vulnerabilidade de 90 dias, amplamente aceito na indústria de infosec.

Situações como a que Wylecial teve de enfrentar estão se tornando cada vez mais comuns entre os caçadores de bug do iOS e do macOS atualmente.

A Apple – apesar de  anunciar um programa de recompensa de bugs dedicado  – está sendo cada vez mais acusada de atrasar bugs propositalmente e de tentar silenciar os pesquisadores de segurança.

Por exemplo, quando Wylecial revelou seu bug na manhã de hoje, outros pesquisadores relataram situações semelhantes em que a Apple atrasou a correção de bugs de segurança relatados por mais de um ano.

Quando, em julho, a Apple anunciou as regras do programa Security Research Device, a alardeada equipe de segurança Project Zero do Google se  recusou a participar , alegando que as regras do programa foram escritas especificamente para limitar a divulgação pública e amordaçar os pesquisadores de segurança sobre suas descobertas.

Três meses antes, em abril, outro pesquisador de segurança também relatou uma experiência semelhante com o programa de recompensa de bugs da Apple, que ele descreveu como “uma piada”, descrevendo o objetivo do programa como tentar “manter os pesquisadores calados sobre bugs pelo maior tempo possível”.

Um porta-voz da Apple reconheceu nosso pedido de comentário na manhã de hoje, mas disse que a empresa não poderia comentar, pois precisava investigar mais.

Fonte: https://www.zdnet.com/article/security-researcher-discloses-safari-bug-after-apples-delays-patch