Pesquisador de segurança divulga bug do Safari após Apple demorar na correção

Um pesquisador de segurança publicou detalhes hoje sobre um bug do navegador Safari que pode ser usado para vazar ou roubar arquivos dos dispositivos dos usuários.
O bug foi descoberto por Pawel Wylecial, cofundador da empresa de segurança polonesa REDTEAM.PL.

Wylecial relatou inicialmente o bug para a Apple no início desta primavera, em abril, mas o pesquisador decidiu divulgar suas descobertas hoje, depois que o fabricante do sistema operacional adiou a correção do bug por quase um ano, até a primavera de 2021.

COMO FUNCIONA O BUG

Em uma  postagem do blog  hoje, Wylecial disse que o bug reside na implementação do Safari da  API Web Share  – um novo padrão da web que introduziu uma API entre navegadores para compartilhar texto, links, arquivos e outros conteúdos.

O pesquisador de segurança afirma que o Safari (no iOS e no macOS) oferece suporte ao compartilhamento de arquivos armazenados no disco rígido local do usuário ( por meio do esquema file: // URI ).

Este é um grande problema de privacidade, pois pode levar a situações em que páginas da web maliciosas podem convidar usuários a compartilhar um artigo por e-mail com seus amigos, mas acabam secretamente desviando ou vazando um arquivo de seus dispositivos.

Veja o vídeo abaixo para uma demonstração do bug ou brinque com essas duas páginas de demonstração que podem roubar o arquivo /etc/passwd do usuário do Safari ou arquivos de banco de dados de histórico do navegador .

Wylecial descreveu o bug como “não muito sério”, já que a interação do usuário e uma complexa engenharia social são necessárias para induzir os usuários a vazar arquivos locais; no entanto, ele também admitiu que também era muito fácil para os invasores “tornar o arquivo compartilhado invisível para o usuário”.

CRÍTICAS RECENTES AO TRATAMENTO DE PATCHES DA APPLE

No entanto, o verdadeiro problema aqui não é apenas o bug em si e quão fácil ou complexo é explorá-lo, mas como a Apple tratou o relatório de bug.

A Apple não apenas deixou de ter um patch pronto a tempo depois de mais de quatro meses, mas a empresa também tentou atrasar o pesquisador de publicar suas descobertas até a próxima primavera, quase um ano inteiro desde o relatório de bug original, e muito além do padrão Prazo de divulgação de vulnerabilidade de 90 dias, amplamente aceito na indústria de infosec.

Situações como a que Wylecial teve de enfrentar estão se tornando cada vez mais comuns entre os caçadores de bug do iOS e do macOS atualmente.

A Apple – apesar de  anunciar um programa de recompensa de bugs dedicado  – está sendo cada vez mais acusada de atrasar bugs propositalmente e de tentar silenciar os pesquisadores de segurança.

Por exemplo, quando Wylecial revelou seu bug na manhã de hoje, outros pesquisadores relataram situações semelhantes em que a Apple atrasou a correção de bugs de segurança relatados por mais de um ano.

Quando, em julho, a Apple anunciou as regras do programa Security Research Device, a alardeada equipe de segurança Project Zero do Google se  recusou a participar , alegando que as regras do programa foram escritas especificamente para limitar a divulgação pública e amordaçar os pesquisadores de segurança sobre suas descobertas.

Três meses antes, em abril, outro pesquisador de segurança também relatou uma experiência semelhante com o programa de recompensa de bugs da Apple, que ele descreveu como “uma piada”, descrevendo o objetivo do programa como tentar “manter os pesquisadores calados sobre bugs pelo maior tempo possível”.

Um porta-voz da Apple reconheceu nosso pedido de comentário na manhã de hoje, mas disse que a empresa não poderia comentar, pois precisava investigar mais.

Fonte: https://www.zdnet.com/article/security-researcher-discloses-safari-bug-after-apples-delays-patch