Investigador de seguridad revela error de Safari después del parche de retrasos de Apple

Imagen: REDTEAM.PL Un investigador de seguridad ha publicado hoy detalles sobre un error del navegador Safari que se podría abusar para filtrar o robar archivos de los dispositivos de los usuarios. El error fue descubierto por Pawel Wylecial, cofundador de la firma de seguridad polaca REDTEAM.
PL. Wylecial informó inicialmente sobre el error a Apple a principios de esta primavera, en abril, pero el investigador decidió hacer públicos sus hallazgos hoy después de que el fabricante del sistema operativo retrasó la corrección del error durante casi un año, hasta la primavera de 2021. En una publicación de blog de hoy, Wylecial dijo que el error reside en la implementación de Safari de la API Web Share, un nuevo estándar web que introdujo una API entre navegadores para compartir texto, enlaces, archivos y otro contenido.
El investigador de seguridad dice que Safari (tanto en iOS como en macOS) admite compartir archivos que están almacenados en el disco duro local del usuario (a través del esquema file: // URI). Este es un gran problema de privacidad, ya que podría conducir a situaciones en las que las páginas web maliciosas inviten a los usuarios a compartir un artículo por correo electrónico con sus amigos, pero terminen extrayendo o filtrando en secreto un archivo de su dispositivo. Vea el video a continuación para una demostración del error, o juegue con estas dos páginas de demostración que pueden filtrar los archivos de base de datos del historial del navegador / etc / passwd de un usuario de Safari.
Wylecial describió el error como "no muy serio", ya que se necesita la interacción del usuario y la ingeniería social compleja para engañar a los usuarios para que filtren archivos locales; sin embargo, también admitió que también era bastante fácil para los atacantes "hacer que el archivo compartido sea invisible para el usuario". Sin embargo, el problema real aquí no es solo el error en sí y lo fácil o complejo que es explotarlo, sino cómo Apple manejó el informe del error. Apple no solo no pudo tener un parche listo a tiempo después de más de cuatro meses, sino que la compañía también intentó retrasar al investigador para que no publicara sus hallazgos hasta la próxima primavera, casi un año completo desde el informe de error original, y mucho más allá del estándar. Plazo de divulgación de vulnerabilidades de 90 días ampliamente aceptado en la industria de la seguridad de la información.
Situaciones como la que tuvo que enfrentar Wylecial se están volviendo cada vez más comunes entre los cazadores de errores de iOS y macOS en estos días. Apple, a pesar de anunciar un programa dedicado de recompensas de errores, está siendo acusado cada vez más de retrasar los errores a propósito y de intentar silenciar a los investigadores de seguridad. Por ejemplo, cuando Wylecial reveló su error hoy, otros investigadores informaron situaciones similares en las que Apple retrasó la corrección de errores de seguridad que informaron durante más de un año.
Cuando en julio, Apple anunció las reglas del programa de dispositivos de investigación de seguridad, el equipo de seguridad del Proyecto Cero de Google se negó a participar, alegando que las reglas del programa fueron escritas específicamente para limitar la divulgación pública y amordazar a los investigadores de seguridad sobre sus hallazgos. Tres meses antes, en abril, otro investigador de seguridad también informó sobre una experiencia similar con el programa de recompensas por errores de Apple, que describió como "una broma", y describió el objetivo del programa como tratar de "mantener a los investigadores callados sobre los errores durante el mayor tiempo posible". Un portavoz de Apple reconoció nuestra solicitud de comentarios el día de hoy, pero dijo que la compañía no podría hacer comentarios, ya que necesitaba investigar más a fondo. pags VER GALERIA COMPLETA.