Эксперт польской компании REDTEAM.PL Павел Вилесиал (Pawel Wylecial) опубликовал детальный отчет об уязвимости в браузере Safari, которую он обнаружил еще весной текущего года. Проблема в том, что компания Apple решила отложить исправление этого бага до весны 2021 года, а эксперт счел, что так долго ждать нельзя.
По словам Вилесиала, корень проблемы кроется в имплементации Safari Web Share API, кроссбраузерного API для обмена текстом, ссылками, файлами и прочим контентом. Исследователь объясняет, что Safari на iOS и macOS поддерживает совместное использование файлов, которые хранятся на локальном жестком диске пользователя (через URI-схему file://). В итоге это может привести к ситуации, когда вредоносный сайт предложит пользователю Safari поделиться статьей с друзьями, а на самом деле тайно похитит файлы его устройства.
Видеоролик ниже наглядно демонстрирует эксплуатацию этой проблемы на примере файлов /etc/passwd и браузерной истории пользователя.
Эксперт признает, что расценивать эту проблему можно как не очень серьезную, ведь для ее использования необходимы взаимодействие с пользователем и социальная инженерия. Однако также он предупреждает, что злоумышленники могут сделать такую атаку практически невидимой для пользователя.
Интересно и то, что компания Apple не просто не сумела подготовить патч для этой проблемы, хотя у специалистов было на это четыре месяца, но также попыталась задержать публикацию отчета Вилесиала с результатами исследования до следующей весны. Когда же польский специалист все же обнародовал данные об ошибке, решив, что дольше ждать нельзя, другие исследователи стали рассказывать о похожих ситуациях, когда Apple откладывала исправление ошибок более чем на год.
For two of my bugs they've told me same thing that it will be fixed on "Fall of 2020" and yesterday I ask for the update. They replied it's not a bug ?
— Nikhil Mittal (@c0d3G33k) August 24, 2020
Напомню, что в июле текущего года Apple сообщила о расширении своей программы bug bounty, однако тогда многих ИБ-экспертов смутили официальные правила программы и они заявили, что не станут участвовать в подобном. Дело в том, что Apple оставила за собой полный контроль над процессом раскрытия уязвимостей. Именно производитель будет устанавливать дату публикации, после которой исследователям разрешат сообщать или публиковать что-либо об уязвимостях в iOS и iPhone. Из-за этого многие специалисты, включая экспертов из Google Project Zero, опасаются, что Apple будет злоупотреблять этим правом и задерживать важные обновления безопасности, откладывая даты публикаций и не позволяя специалистам предавать проблемы огласке.