Istraživač objavio detalje o bagu u Safariju nakon što je kompanija pokušala da ga ućutka i odloži objavljivanje zakrpe

Vesti, 26.08.2020, 12:00 PM

Istraživač objavio detalje o bagu u Safariju nakon što je kompanija pokušala da ga ućutka i odloži objavljivanje zakrpe

Istraživač Pavel Vilecial, suosnivač poljske frime REDTEAM.PL, objavio je juče detalje o bagu u pretraživaču Safari koji bi se mogao iskoristiti za krađu ili curenje fajlova sa uređaja korisnika.

Vilecial je bag Appleu prijavio u aprilu, ali je odlučio da objavi svoja otkrića nakon što je Apple rešio da odloži izdavanje zakrpe za sledeću godinu.

Prema onom što je Vilecial objavio na blogu svoje firme, greška je u implementaciji Web Share API-ja - novog veb standarda za deljenje teksta, linkova, fajlova i drugog sadržaja.

Istraživač kaže da Safari (i na iOS-u i macOS-u) podržava deljenje fajlova koji se čuvaju na hard disku korisnika.

Ovo je veliki problem za privatnost korisnika jer bi to moglo dovesti do situacija u kojima zlonamerne veb stranice mogu pozvati korisnike da podele članak preko emaila sa prijateljima, ali da potajno kopiraju fajl sa njihovog uređaja.

Kako izgleda zloupotreba ovog baga možete pogledati na video snimku ovde ili da pokušate sa ove dve demo stranice ovde i ovde koje mogu izvući iz Safarija /etc/passwd ili browser history fajlove.

Srećom, bag nije lako zloupotrebiti, jer je potrebna interakcija korisnika i složen socijalni inženjering da bi se prevarili korisnici. Međutim, Vilecial kaže i da je napadačima takođe prilično lako „da deljeni fajl učine nevidljivim za korisnika“.

Međutim, stvarni problem nije sama greška niti koliko je lako ili teško iskoristiti je, već kako je Apple postupio kada je obavešten o tome.

Apple ne samo da nije uspeo da spremi zakrpu na vreme posle više od četiri meseca, već je kompanija takođe pokušala da odgovori istraživača da objavi svoja otkrića do sledećeg proleća, skoro godinu dana od trenutka kada je kompaniji prijavljen bag, čime bi se prekoračio standardni rok od 90 dana od dana otkrivanja ranjivosti koji je široko prihvaćen u industriji.

Situacije poput one sa kojom se Vilecial suočio postaju sve učestalije kada je reč o lovcima na bagove u iOS i macOS.

Apple, iako ima namenski program za nagrađivanje onih koji prijave bagove u njegovom softveru, sve češće se optužuje da odlaže ispravljanje grešaka i da pokušava da ućutka istraživače koji pronađu greške u njegovom softveru. Kada je Vilecial otkrio detalje o bagu koji je otkrio, drugi istraživači su prijavili slične situacije u kojima je Apple odložio ispravljanje sigurnosnih grešaka o kojima su izvestili kompaniju pre više od godinu dana.

Kad je Apple u julu najavio pravila Security Research Device programa, Googleov hvaljeni tim Project Zero odbio je da učestvuje, tvrdeći da su pravila napisana sa namerom da se ograniči istraživačima javno otkrivanje bagova.

Tri meseca pre toga, u aprilu, jedan drugi istraživač takođe je prijavio slično iskustvo sa Appleovim programom za bagove, koji je opisao kao “sprdnju”, rekavši da je cilj programa da pokuša “da ućutka istraživače da ne govore o bagovima što je duže moguće”.

Apple nije komentarisao ove tvrdnje.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Proizvođač čipova Advantech potvrdio napad ransomwareom, kriminalne grupe traže sve veće otkupnine

Proizvođač čipova Advantech potvrdio napad ransomwareom, kriminalne grupe traže sve veće otkupnine

Proizvođač čipova Advantech potvrdio je da je 26. novembra dobio zahtev za otkupninu od grupe Conti koja zahteva 750 bitkoina, odnosno oko 14 milio... Dalje

Hakerska grupa OceanLotus koristi novi malver za napade na korisnike MacOS

Hakerska grupa OceanLotus koristi novi malver za napade na korisnike MacOS

Istraživači kompanije Trend Micro otkrili su novi malver koji se koristi u napadima na korisnike MacOS, iza kojih prema rečima istraživača stoje ... Dalje

Napadi hakera na proizvođača vakcine za COVID-19, kompaniju AstraZeneca

Napadi hakera na proizvođača vakcine za COVID-19, kompaniju AstraZeneca

Hakeri iz Severne Koreje pokušali su da provale u sisteme britanskog proizvođača lekova AstraZeneca, kompanije koja je trenutno u žiži javnosti k... Dalje

Policija sprečila krađu 40 miliona evra akcijom protiv sajtova za trgovinu ukradenim platnim karticama

Policija sprečila krađu 40 miliona evra akcijom protiv sajtova za trgovinu ukradenim platnim karticama

Italijanska i mađarska policija, uz podršku britanske policije i Europola, sprečile su gubitke od oko 40 miliona evra pojedinaca i kompanija, akcij... Dalje

Sophos obaveštava korisnike da su procureli podaci onih koji su kontaktirali korisničku podršku

Sophos obaveštava korisnike da su procureli podaci onih koji su kontaktirali korisničku podršku

Proizvođač rešenja za zaštitu informacionih sistema sa sedištem u Velikoj Britaniji, kompanija Sophos, trenutno šalje email obaveštenja svojim ... Dalje