Istraživač objavio detalje o bagu u Safariju nakon što je kompanija pokušala da ga ućutka i odloži objavljivanje zakrpe
Vesti, 26.08.2020, 12:00 PM
Istraživač Pavel Vilecial, suosnivač poljske frime REDTEAM.PL, objavio je juče detalje o bagu u pretraživaču Safari koji bi se mogao iskoristiti za krađu ili curenje fajlova sa uređaja korisnika.
Vilecial je bag Appleu prijavio u aprilu, ali je odlučio da objavi svoja otkrića nakon što je Apple rešio da odloži izdavanje zakrpe za sledeću godinu.
Prema onom što je Vilecial objavio na blogu svoje firme, greška je u implementaciji Web Share API-ja - novog veb standarda za deljenje teksta, linkova, fajlova i drugog sadržaja.
Istraživač kaže da Safari (i na iOS-u i macOS-u) podržava deljenje fajlova koji se čuvaju na hard disku korisnika.
Ovo je veliki problem za privatnost korisnika jer bi to moglo dovesti do situacija u kojima zlonamerne veb stranice mogu pozvati korisnike da podele članak preko emaila sa prijateljima, ali da potajno kopiraju fajl sa njihovog uređaja.
Kako izgleda zloupotreba ovog baga možete pogledati na video snimku ovde ili da pokušate sa ove dve demo stranice ovde i ovde koje mogu izvući iz Safarija /etc/passwd ili browser history fajlove.
Srećom, bag nije lako zloupotrebiti, jer je potrebna interakcija korisnika i složen socijalni inženjering da bi se prevarili korisnici. Međutim, Vilecial kaže i da je napadačima takođe prilično lako „da deljeni fajl učine nevidljivim za korisnika“.
Međutim, stvarni problem nije sama greška niti koliko je lako ili teško iskoristiti je, već kako je Apple postupio kada je obavešten o tome.
Apple ne samo da nije uspeo da spremi zakrpu na vreme posle više od četiri meseca, već je kompanija takođe pokušala da odgovori istraživača da objavi svoja otkrića do sledećeg proleća, skoro godinu dana od trenutka kada je kompaniji prijavljen bag, čime bi se prekoračio standardni rok od 90 dana od dana otkrivanja ranjivosti koji je široko prihvaćen u industriji.
Situacije poput one sa kojom se Vilecial suočio postaju sve učestalije kada je reč o lovcima na bagove u iOS i macOS.
Apple, iako ima namenski program za nagrađivanje onih koji prijave bagove u njegovom softveru, sve češće se optužuje da odlaže ispravljanje grešaka i da pokušava da ućutka istraživače koji pronađu greške u njegovom softveru. Kada je Vilecial otkrio detalje o bagu koji je otkrio, drugi istraživači su prijavili slične situacije u kojima je Apple odložio ispravljanje sigurnosnih grešaka o kojima su izvestili kompaniju pre više od godinu dana.
Kad je Apple u julu najavio pravila Security Research Device programa, Googleov hvaljeni tim Project Zero odbio je da učestvuje, tvrdeći da su pravila napisana sa namerom da se ograniči istraživačima javno otkrivanje bagova.
Tri meseca pre toga, u aprilu, jedan drugi istraživač takođe je prijavio slično iskustvo sa Appleovim programom za bagove, koji je opisao kao “sprdnju”, rekavši da je cilj programa da pokuša “da ućutka istraživače da ne govore o bagovima što je duže moguće”.
Apple nije komentarisao ove tvrdnje.
Izdvojeno
Microsoft je i dalje brend koji se najviše zloupotrebljava u phishing napadima
Prema podacima kompanije Check Point, Microsoft je brend koji se najviše zloupotrebljavao, u čak 38% svih phishing napada u prvom kvartalu 2024. Ovo... Dalje
Farmakokriminal na internetu: Facebook, X i Instagram preplavljeni oglasima za kopije poznatih lekova
Hiljade lažnih onlajn apoteka koje prodaju kopije lekova širom sveta, uključujući i kopije popularnog Ozempica, leka za lečenje dijabetesa tipa ... Dalje
Rusija i Ukrajina na vrhu prvog svetskog indeksa sajber kriminala
Časopis PLOS ONE objavio je 10. aprila naučni rad pod nazivom „Mapiranje globalne geografije sajber kriminala sa svetskim indeksom sajber krim... Dalje
Prevare sa lažnim glasovnim porukama u porastu: LastPass objavio detalje o jednom takvom napadu na kompaniju
LastPass je objavio da su prevaranti pokušali da prevare jednog od zaposlenih u kompaniji koristeći lažnu glasovnu poruku izvršnog direktora Last... Dalje
Istraživanje otkriva da većina ljudi ima između 3 i 10 onlajn naloga, ali stvaran broj bi mogao biti i mnogo veći
Hteli to ili ne, onlajn nalozi su sada sastavni deo naših života. Broj naloga na mreži koje neko ima direktno je propcionalan šansi da postane žr... Dalje
Pratite nas
Nagrade