Bug di Safari rivelato solo dopo un anno, dopo la patch

Un ricercatore di sicurezza polacco ha svelato il difetto in un’API di condivisione cross-browser che potrebbe consentire agli aggressori di rubare i file degli utenti che usano Safari.

La falla di sicurezza del browser Web Apple Safari potrebbe aprire la porta dei Mac e esserw sfruttata da parte degli hacker.
Ma ne siamo venuti a conoscenza solo dopo che Apple ha affermato che avrebbe ritardato la patch della vulnerabilità di quasi un anno.
Il ricercatore, ha valutato il bug come “non molto grave”.

Il ricercatore polacco sulla sicurezza Pawel Wylecial, co-fondatore di REDTEAM.PL ha trovato la falla di sicurezza e ha attribuito il bug all’implementazione in Safari dell’API Web Share.
L’API che è relativamente nuova, consente agli utenti di condividere collegamenti dal browser tramite applicazioni di terze parti, come quelle distribuite tramite posta e app di messaggistica.

Il problema risiede nel file dell’implementazione: sia sulla versione mobile che desktop di Safari che consente l’accesso ai file archiviati sul disco rigido locale dell’utente.
Questo può portare a qualcuno che condivide inconsapevolmente file o dati personali con un sito dannoso quando si presume che stiano condividendo solo un articolo o un collegamento con i propri amici, ha scritto Wylecial.

Il problema è quel file: l’accesso è consentito e quando un sito Web punta a tale URL si verifica un comportamento imprevisto “, ha spiegato Wylecial nel suo post. “Nel caso in cui un tale collegamento venga passato alla funzione navigator.share, nel messaggio condiviso viene incluso un file effettivo dal file system dell’utente, che porta alla divulgazione del file locale quando un utente lo condivide inconsapevolmente.”

Wylecial ha riconosciuto che il “problema non è molto grave”, tuttavia, ha affermato che non è difficile rendere il file condiviso invisibile all’utente, confrontando la capacità che il difetto offre a un utente malintenzionato al clickjacking nel modo in cui mira a convincere l’utente ignaro a eseguire un’azione.

Tuttavia, il fatto che il bug non sia molto grave potrebbe non essere il punto. La divulgazione di Wylecial evidenzia ancora una volta l’approccio poco brillante di Apple alla correzione delle vulnerabilità scoperte da ricercatori di terze parti, nonché una relazione storicamente problematica con loro.

Wylecial ha segnalato il bug ad Apple il 17 aprile di quest’anno, con la società che ha ammesso quattro giorni dopo di aver ricevuto la sua segnalazione. Dopo molto avanti e indietro, all’inizio di questo mese Apple ha affermato che avrebbe risolto il problema nell’aggiornamento nella primavera 2021!, cioè che sarebbe stato quasi un anno dopo la segnalazione del problema!

Questo ha spinto Wylecial a rencere pubblica la sua ricerca, e a dire che aspettare la patch di sicurezza per quasi un anno, mentre sono già passati quattro mesi dalla segnalazione del problema, non è ragionevole.

In effetti, la divulgazione mostra la tensione in corso tra Apple e i ricercatori di sicurezza, che molti pensavano stesse per essere risolta quando la società ha finalmente aperto al pubblico il suo programma di bug bounty a dicembre 2019.

Il programma pubblico rinnovato ha aumentato i pagamenti e ampliato le regole della piattaforma per i ricercatori rispetto al programma precedente, che era solo su invito con premi fino a 200mila dollari su piattaforme limitate. Ora i ricercatori possono ricevere fino a $ 1 milione per il più critico dei difetti sul suo hardware più recente e tra $ 25.000 e $ 500.000 per scoprire le vulnerabilità in una gamma di altri prodotti, inclusi Mac, iPhone e iPad e Apple TV.

Anche dopo le modifiche, tuttavia, alcuni importanti ricercatori, tra cui Project Zero Ian Beer di Google, noto per aver scoperto una serie di difetti iOS zero-day, si sono opposti al programma di ricompensa dei bug di Apple.

Il miglior Antivirus per Mac

Prova Mackeeper l’antivirus pensato per il Mac, scarica la versione di prova o acquistalo sul sito del produttore.

Download MacKeeper Download MacKeeper

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *