Новая уязвимость в Safari дает возможность похищения данных с устройства

Исследователь в области информационной безопасности Павель Вылецяль (Pawel Wylecial) опубликовал детали о выявленной им уязвимости в браузере Safari, которая может быть использована для кражи файлов с устройства жертвы. Эксплойт связан с новым Web Share API.

Новый протокол Web Share API позволяет пользователям обмениваться ссылками из браузера через сторонние приложения (например, приложения для почты и обмена сообщениями). Проблема в том, что когда веб-сайт указывает на URL-адрес, происходит непрогнозируемое поведение, в результате которого при отправке ссылки функции navigator.share в сообщение включается файл из файловой системы, что может привести к утечке данных.

Для репродуцирования проблемы нужно выполнить следующую последовательность действий:

1. Посетить сайт с эксплойтом использование Safari или мобильного Safari;
2. Нажать кнопку «поделиться с друзьями»;
3. Выбрать метод (например, Почта, Сообщения);
4. «Отправить его» или «поделиться им»;
5. Local /etc / passwd был отправлен получателю.

При этом сама проблема не очень серьёзна, так как требуется участия с пользователя, однако довольно легко сделать общий файл невидимым для пользователя. Самая простая идея реализации – кликджекинг, – метод убеждения ничего не подозревающего пользователя выполнить какое-то действие.

Однако, примечательным является не сама проблема, а отношение Apple к ней, так как исследователь проинформировал о ней корпорацию весной текущего года, но Apple проинформировали что выпустят патч только весной 2021 несмотря на стандартные сроки в 90 дней, общепринятые в ИБ-сообществе. Безусловно, Павель Вылецяль получил обратную связь от компании в ответ на своё письмо с описанием уязвимости, но в данном письме Apple просили не публиковать детали эксплойта до весны 2021, что является неприемлимым с точки зрения специалиста по информационной безопасности.