Cansado de esperar por uma resolução da Apple, o pesquisador de segurança Pawel Wylecial decidiu divulgar um bug no navegador Safari que permite o roubo de arquivos em dispositivos macOS e iOS. Cofundador da empresa de segurança polonesa Redteam.Pl, Wylecial publicou os detalhes sobre a falha de segurança descoberta no blog de sua companhia, na última segunda-feira (24).
De acordo com Wylecial, o bug reside na API Web Share do Safari — novo recurso que permite o compartilhamento de textos, links, arquivos e outros conteúdos entre navegadores. Como o Safari oferece suporte para o compartilhamento de arquivos armazenados no disco rígido do usuário (por meio do esquema file://URL), o bug pode fazer com que conteúdos privados sejam vazados em questão de segundos.
Apesar de a brecha de segurança abrir margem para acessos de hackers aos arquivos por meio de páginas de web maliciosas, o pesquisador de segurança classificou o bug como uma falha “não muito séria”. Wylecial lembra que o roubo de dados depende da interação do usuário e de uma engenharia para a indução de vazamentos, mas admite que é extremamente fácil para os invasores tornarem os arquivos “invisíveis”, como mostra o vídeo abaixo:
Apple tenta abafar o caso
A divulgação do bug que possibilita o roubo de dados dos dispositivos iOS e macOS por meio do browser Safari foi divulgado no último 24, mas a Apple foi alertada por Pawel Wylecial desde abril. A gigante de Tim Cook não disponibilizou um patch para solucionar o problema e adiou a correção do bug até março de 2021 — contradizendo a própria política da empresa de divulgar falhas de segurança encontradas em até 90 dias.
O problema, no entanto, parece ser recorrente e tem sido comum entre os caçadores de bugs do sistema operacional da Apple. Mesmo com um programa de recompensa para pesquisadores que encontrarem falhas em seu sistema operacional, a companhia tem demorado na resolução dos problemas, “travando” o trabalho dos pesquisadores de bugs.
Apesar de anunciar programa de recompensa para caçadores de bugs em seu sistema operacional, Apple tem demorado para divulgar e solucionar problemas. Foto: Unsplash
Em abril, outro pesquisador de segurança relatou uma experiência semelhante à de Wylecial em seu Twitter. Na publicação, ele descreveu como “piada” o prazo dado pela Apple e disse que a ideia da empresa é manter os pesquisadores calados pelo maior tempo possível.
I’m thinking about withdrawing from the Apple Security Bounty program.
I see no evidence that Apple is serious about the program. I’ve heard of only 1 bounty payment, and the bug wasn’t even Mac-specific.
Also, Apple Product Security has ignored my last email to them for weeks.
— Jeff Johnson (@lapcatsoftware) April 21, 2020
Em julho, a equipe de segurança Project Zero — da Google — fez duras críticas ao Programa de Pesquisa de Segurança para Dispositivos da Apple, alegando que a companhia limita a divulgação pública das falhas encontradas e amordaça os pesquisadsores de segurança sobre suas descobertas.
Contatada pela ZDNet, a Apple não quis comentar sobre o assunto.
Via: ZDNet