Istraživač objavio detalje o bagu u Safariju nakon što je kompanija pokušala da ga ućutka i odloži objavljivanje zakrpe

Vesti, 26.08.2020, 12:00 PM

Istraživač objavio detalje o bagu u Safariju nakon što je kompanija pokušala da ga ućutka i odloži objavljivanje zakrpe

Istraživač Pavel Vilecial, suosnivač poljske frime REDTEAM.PL, objavio je juče detalje o bagu u pretraživaču Safari koji bi se mogao iskoristiti za krađu ili curenje fajlova sa uređaja korisnika.

Vilecial je bag Appleu prijavio u aprilu, ali je odlučio da objavi svoja otkrića nakon što je Apple rešio da odloži izdavanje zakrpe za sledeću godinu.

Prema onom što je Vilecial objavio na blogu svoje firme, greška je u implementaciji Web Share API-ja - novog veb standarda za deljenje teksta, linkova, fajlova i drugog sadržaja.

Istraživač kaže da Safari (i na iOS-u i macOS-u) podržava deljenje fajlova koji se čuvaju na hard disku korisnika.

Ovo je veliki problem za privatnost korisnika jer bi to moglo dovesti do situacija u kojima zlonamerne veb stranice mogu pozvati korisnike da podele članak preko emaila sa prijateljima, ali da potajno kopiraju fajl sa njihovog uređaja.

Kako izgleda zloupotreba ovog baga možete pogledati na video snimku ovde ili da pokušate sa ove dve demo stranice ovde i ovde koje mogu izvući iz Safarija /etc/passwd ili browser history fajlove.

Srećom, bag nije lako zloupotrebiti, jer je potrebna interakcija korisnika i složen socijalni inženjering da bi se prevarili korisnici. Međutim, Vilecial kaže i da je napadačima takođe prilično lako „da deljeni fajl učine nevidljivim za korisnika“.

Međutim, stvarni problem nije sama greška niti koliko je lako ili teško iskoristiti je, već kako je Apple postupio kada je obavešten o tome.

Apple ne samo da nije uspeo da spremi zakrpu na vreme posle više od četiri meseca, već je kompanija takođe pokušala da odgovori istraživača da objavi svoja otkrića do sledećeg proleća, skoro godinu dana od trenutka kada je kompaniji prijavljen bag, čime bi se prekoračio standardni rok od 90 dana od dana otkrivanja ranjivosti koji je široko prihvaćen u industriji.

Situacije poput one sa kojom se Vilecial suočio postaju sve učestalije kada je reč o lovcima na bagove u iOS i macOS.

Apple, iako ima namenski program za nagrađivanje onih koji prijave bagove u njegovom softveru, sve češće se optužuje da odlaže ispravljanje grešaka i da pokušava da ućutka istraživače koji pronađu greške u njegovom softveru. Kada je Vilecial otkrio detalje o bagu koji je otkrio, drugi istraživači su prijavili slične situacije u kojima je Apple odložio ispravljanje sigurnosnih grešaka o kojima su izvestili kompaniju pre više od godinu dana.

Kad je Apple u julu najavio pravila Security Research Device programa, Googleov hvaljeni tim Project Zero odbio je da učestvuje, tvrdeći da su pravila napisana sa namerom da se ograniči istraživačima javno otkrivanje bagova.

Tri meseca pre toga, u aprilu, jedan drugi istraživač takođe je prijavio slično iskustvo sa Appleovim programom za bagove, koji je opisao kao “sprdnju”, rekavši da je cilj programa da pokuša “da ućutka istraživače da ne govore o bagovima što je duže moguće”.

Apple nije komentarisao ove tvrdnje.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Hakeri izmenili ukradene podatke o Fajzerovoj vakcini da bi sabotirali vakcinaciju

Hakeri izmenili ukradene podatke o Fajzerovoj vakcini da bi sabotirali vakcinaciju

Hakeri koji su ukrali informacije o Phizer/BioNTech vakcini protiv COVID-19 u sajber napadu na medicinsku agenciju Evropske unije koji se dogodio pro... Dalje

Zatvara se Joker's Stash, najveća prodavnica ukradenih kreditnih kartica

Zatvara se Joker's Stash, najveća prodavnica ukradenih kreditnih kartica

Administrator Joker's Stasha, popularnog i jednog od najdugovečnijih sajtova mračnog veba za kupovinu ukradenih kreditnih kartica, najavio je u peta... Dalje

Zbog egzodusa korisnika, WhatsApp odložio primenu novih kontroverznih smernica o deljenju podataka korisnika sa Facebookom

Zbog egzodusa korisnika, WhatsApp odložio primenu novih kontroverznih smernica o deljenju podataka korisnika sa Facebookom

WhatsApp je saopštio da do 15. maja neće primenjivati nedavno najavljeno kontroverzno ažuriranje smernica o deljenju podataka koje je, kako je prv... Dalje

Facebook tužio dvojicu programera ekstenzija za Chrome zbog prikupljanja podataka korisnika

Facebook tužio dvojicu programera ekstenzija za Chrome zbog prikupljanja podataka korisnika

Facebook je tužio dvojicu portugalskih programera zbog ekstenzija za Chrome koje su prikupljale korisničke podatke sa Facebookovih veb sajtova. &bdq... Dalje

Procurili podaci o Fajzerovoj vakcini koje su ukrali nepoznati hakeri

Procurili podaci o Fajzerovoj vakcini koje su ukrali nepoznati hakeri

Evropska agencija za lekove (EMA) je saopštila da su neki podaci o vakcini protiv COVID-19 koju proizvode Pfizer i BioNTech ukradeni sa njenih server... Dalje