Новая уязвимость в Safari дает возможность похищения данных с устройства
Исследователь в области информационной безопасности Павель Вылецяль (Pawel Wylecial) опубликовал детали о выявленной им уязвимости в браузере Safari, которая может быть использована для кражи файлов с устройства жертвы. Эксплойт связан с новым Web Share API.
Новый протокол Web Share API позволяет пользователям обмениваться ссылками из браузера через сторонние приложения (например, приложения для почты и обмена сообщениями). Проблема в том, что когда веб-сайт указывает на URL-адрес, происходит непрогнозируемое поведение, в результате которого при отправке ссылки функции navigator.share в сообщение включается файл из файловой системы, что может привести к утечке данных.
Для репродуцирования проблемы нужно выполнить следующую последовательность действий:
- Посетить сайт с эксплойтом использование Safari или мобильного Safari;
- Нажать кнопку «поделиться с друзьями»;
- Выбрать метод (например, Почта, Сообщения);
- «Отправить его» или «поделиться им»;
- Local /etc / passwd был отправлен получателю.
При этом сама проблема не очень серьёзна, так как требуется участия с пользователя, однако довольно легко сделать общий файл невидимым для пользователя. Самая простая идея реализации – кликджекинг, – метод убеждения ничего не подозревающего пользователя выполнить какое-то действие.
Однако, примечательным является не сама проблема, а отношение Apple к ней, так как исследователь проинформировал о ней корпорацию весной текущего года, но Apple проинформировали что выпустят патч только весной 2021 несмотря на стандартные сроки в 90 дней, общепринятые в ИБ-сообществе. Безусловно, Павель Вылецяль получил обратную связь от компании в ответ на своё письмо с описанием уязвимости, но в данном письме Apple просили не публиковать детали эксплойта до весны 2021, что является неприемлимым с точки зрения специалиста по информационной безопасности.