Istraživač objavio detalje o bagu u Safariju nakon što je kompanija pokušala da ga ućutka i odloži objavljivanje zakrpe

Vesti, 26.08.2020, 12:00 PM

Istraživač Pavel Vilecial, suosnivač poljske frime REDTEAM.PL, objavio je juče detalje o bagu u pretraživaču Safari koji bi se mogao iskoristiti za krađu ili curenje fajlova sa uređaja korisnika.

Vilecial je bag Appleu prijavio u aprilu, ali je odlučio da objavi svoja otkrića nakon što je Apple rešio da odloži izdavanje zakrpe za sledeću godinu.

Prema onom što je Vilecial objavio na blogu svoje firme, greška je u implementaciji Web Share API-ja - novog veb standarda za deljenje teksta, linkova, fajlova i drugog sadržaja.

Istraživač kaže da Safari (i na iOS-u i macOS-u) podržava deljenje fajlova koji se čuvaju na hard disku korisnika.

Ovo je veliki problem za privatnost korisnika jer bi to moglo dovesti do situacija u kojima zlonamerne veb stranice mogu pozvati korisnike da podele članak preko emaila sa prijateljima, ali da potajno kopiraju fajl sa njihovog uređaja.

Kako izgleda zloupotreba ovog baga možete pogledati na video snimku ovde ili da pokušate sa ove dve demo stranice ovde i ovde koje mogu izvući iz Safarija /etc/passwd ili browser history fajlove.

Srećom, bag nije lako zloupotrebiti, jer je potrebna interakcija korisnika i složen socijalni inženjering da bi se prevarili korisnici. Međutim, Vilecial kaže i da je napadačima takođe prilično lako „da deljeni fajl učine nevidljivim za korisnika“.

Međutim, stvarni problem nije sama greška niti koliko je lako ili teško iskoristiti je, već kako je Apple postupio kada je obavešten o tome.

Apple ne samo da nije uspeo da spremi zakrpu na vreme posle više od četiri meseca, već je kompanija takođe pokušala da odgovori istraživača da objavi svoja otkrića do sledećeg proleća, skoro godinu dana od trenutka kada je kompaniji prijavljen bag, čime bi se prekoračio standardni rok od 90 dana od dana otkrivanja ranjivosti koji je široko prihvaćen u industriji.

Situacije poput one sa kojom se Vilecial suočio postaju sve učestalije kada je reč o lovcima na bagove u iOS i macOS.

Apple, iako ima namenski program za nagrađivanje onih koji prijave bagove u njegovom softveru, sve češće se optužuje da odlaže ispravljanje grešaka i da pokušava da ućutka istraživače koji pronađu greške u njegovom softveru. Kada je Vilecial otkrio detalje o bagu koji je otkrio, drugi istraživači su prijavili slične situacije u kojima je Apple odložio ispravljanje sigurnosnih grešaka o kojima su izvestili kompaniju pre više od godinu dana.

Kad je Apple u julu najavio pravila Security Research Device programa, Googleov hvaljeni tim Project Zero odbio je da učestvuje, tvrdeći da su pravila napisana sa namerom da se ograniči istraživačima javno otkrivanje bagova.

Tri meseca pre toga, u aprilu, jedan drugi istraživač takođe je prijavio slično iskustvo sa Appleovim programom za bagove, koji je opisao kao “sprdnju”, rekavši da je cilj programa da pokuša “da ućutka istraživače da ne govore o bagovima što je duže moguće”.

Apple nije komentarisao ove tvrdnje.