Wylecial relatou inicialmente o bug para a Apple no início desta primavera, em abril, mas o pesquisador decidiu divulgar suas descobertas hoje, depois que o fabricante do sistema operacional adiou a correção do bug por quase um ano, até a primavera de 2021.
Em uma postagem do blog hoje, Wylecial disse que o bug reside na implementação do Safari da API Web Share – um novo padrão da web que introduziu uma API entre navegadores para compartilhar texto, links, arquivos e outros conteúdos.
O pesquisador de segurança afirma que o Safari (no iOS e no macOS) oferece suporte ao compartilhamento de arquivos armazenados no disco rígido local do usuário ( por meio do esquema file: // URI ).
Este é um grande problema de privacidade, pois pode levar a situações em que páginas da web maliciosas podem convidar usuários a compartilhar um artigo por e-mail com seus amigos, mas acabam secretamente desviando ou vazando um arquivo de seus dispositivos.
Veja o vídeo abaixo para uma demonstração do bug ou brinque com essas duas páginas de demonstração que podem roubar o arquivo /etc/passwd do usuário do Safari ou arquivos de banco de dados de histórico do navegador .
Wylecial descreveu o bug como “não muito sério”, já que a interação do usuário e uma complexa engenharia social são necessárias para induzir os usuários a vazar arquivos locais; no entanto, ele também admitiu que também era muito fácil para os invasores “tornar o arquivo compartilhado invisível para o usuário”.
No entanto, o verdadeiro problema aqui não é apenas o bug em si e quão fácil ou complexo é explorá-lo, mas como a Apple tratou o relatório de bug.
A Apple não apenas deixou de ter um patch pronto a tempo depois de mais de quatro meses, mas a empresa também tentou atrasar o pesquisador de publicar suas descobertas até a próxima primavera, quase um ano inteiro desde o relatório de bug original, e muito além do padrão Prazo de divulgação de vulnerabilidade de 90 dias, amplamente aceito na indústria de infosec.
Situações como a que Wylecial teve de enfrentar estão se tornando cada vez mais comuns entre os caçadores de bug do iOS e do macOS atualmente.
A Apple – apesar de anunciar um programa de recompensa de bugs dedicado – está sendo cada vez mais acusada de atrasar bugs propositalmente e de tentar silenciar os pesquisadores de segurança.
Por exemplo, quando Wylecial revelou seu bug na manhã de hoje, outros pesquisadores relataram situações semelhantes em que a Apple atrasou a correção de bugs de segurança relatados por mais de um ano.
Quando, em julho, a Apple anunciou as regras do programa Security Research Device, a alardeada equipe de segurança Project Zero do Google se recusou a participar , alegando que as regras do programa foram escritas especificamente para limitar a divulgação pública e amordaçar os pesquisadores de segurança sobre suas descobertas.
Três meses antes, em abril, outro pesquisador de segurança também relatou uma experiência semelhante com o programa de recompensa de bugs da Apple, que ele descreveu como “uma piada”, descrevendo o objetivo do programa como tentar “manter os pesquisadores calados sobre bugs pelo maior tempo possível”.
Um porta-voz da Apple reconheceu nosso pedido de comentário na manhã de hoje, mas disse que a empresa não poderia comentar, pois precisava investigar mais.
Fonte: https://www.zdnet.com/article/security-researcher-discloses-safari-bug-after-apples-delays-patch
IA está comprimindo a janela entre divulgação e exploração a ponto de ficar negativa. A…
Operação NoVoice espalhou-se por mais de 50 apps do Google Play e explorou falhas antigas…
Grupo Inc reivindica ataque contra a prefeitura de Meriden, Connecticut. A cidade desligou serviços e…
A Alemanha expôs o líder ligado a GandCrab/REvil e reforçou o alerta sobre rebrandings no…
BlueHammer é um zero‑day LPE que explora o Windows Defender e eleva um usuário comum…
Drift Protocol suspendeu depósitos e saques após ataque na Solana. Estimativas apontam perdas entre US$…