Эксперт польской компании REDTEAM.PL Павел Вилесиал (Pawel Wylecial) опубликовал детальный отчет об уязвимости в браузере Safari, которую он обнаружил еще весной текущего года. Проблема в том, что компания Apple решила отложить исправление этого бага до весны 2021 года, а эксперт счел, что так долго ждать нельзя.

По словам Вилесиала, корень проблемы кроется в имплементации Safari Web Share API, кроссбраузерного API для обмена текстом, ссылками, файлами и прочим контентом. Исследователь объясняет, что Safari на iOS и macOS поддерживает совместное использование файлов, которые хранятся на локальном жестком диске пользователя (через URI-схему file://). В итоге это может привести к ситуации, когда вредоносный сайт предложит пользователю Safari поделиться статьей с друзьями, а на самом деле тайно похитит файлы его устройства.

Видеоролик ниже наглядно демонстрирует эксплуатацию этой проблемы на примере файлов /etc/passwd и браузерной истории пользователя.

Эксперт признает, что расценивать эту проблему можно как не очень серьезную, ведь для ее использования необходимы взаимодействие с пользователем и социальная инженерия. Однако также он предупреждает, что злоумышленники могут сделать такую атаку практически невидимой для пользователя.

Интересно и то, что компания Apple не просто не сумела подготовить патч для этой проблемы, хотя у специалистов было на это четыре месяца, но также попыталась задержать публикацию отчета Вилесиала с результатами исследования до следующей весны. Когда же польский специалист все же обнародовал данные об ошибке, решив, что дольше ждать нельзя, другие исследователи стали рассказывать о похожих ситуациях, когда Apple откладывала исправление ошибок более чем на год.

Напомню, что в июле текущего года Apple сообщила о расширении своей программы bug bounty, однако тогда многих ИБ-экспертов смутили официальные правила программы и они заявили, что не станут участвовать в подобном. Дело в том, что Apple оставила за собой полный контроль над процессом раскрытия уязвимостей. Именно производитель будет устанавливать дату публикации, после которой исследователям разрешат сообщать или публиковать что-либо об ­уязвимостях в iOS и iPhone. Из-за этого многие специалисты, включая экспертов из Google Project Zero, опасаются, что Apple будет злоупотреблять этим правом и задерживать важные обновления безопасности, откладывая даты публикаций и не позволяя специалистам предавать проблемы огласке.

Теги: CSS