Παρασκευή, 15 Ιανουαρίου, 17:06
Αρχική security Safari browser:Αποκαλύφθηκε σφάλμα γιατί η Apple καθυστέρησε το patch

Safari browser:Αποκαλύφθηκε σφάλμα γιατί η Apple καθυστέρησε το patch

Safari browser

Ένας ερευνητής ασφαλείας δημοσίευσε λεπτομέρειες σχετικά με ένα σφάλμα στον Safari browser της Apple που θα μπορούσε να χρησιμοποιηθεί από κακόβουλους hackers για την κλοπή ή διαρροή αρχείων από συσκευές των χρηστών.

Το σφάλμα ανακαλύφθηκε από τον Pawel Wylecial, συνιδρυτή της πολωνικής εταιρείας ασφαλείας REDTEAM.PL.

Ο Wylecial ανέφερε το σφάλμα στην Apple την άνοιξη και συγκεκριμένα τον Απρίλιο, αλλά ο ερευνητής αποφάσισε να δημοσιοποιήσει τα ευρήματά του τώρα, αφού ο κατασκευαστής OS έχει καθυστερήσει να διορθώσει το σφάλμα και το προγραμματίζει για την άνοιξη του 2021, δηλαδή ένα χρόνο μετά.

Πώς λειτουργεί το σφάλμα του Safari browser;

Σε ένα blogpost, ο Wylecial είπε ότι το σφάλμα βρίσκεται στο Web Share API του Safari browser – ένα νέο web standard που εισήγαγε ένα cross-browser API που επιτρέπει κοινή χρήση κειμένου, συνδέσμων, αρχείων και άλλου περιεχομένου.

Ο ερευνητής ασφαλείας λέει ότι το Safari (σε iOS και macOS) υποστηρίζει την κοινή χρήση αρχείων που είναι αποθηκευμένα στον τοπικό σκληρό δίσκο του χρήστη (μέσω του αρχείου: // URI scheme).

Πρόκειται για ένα σημαντικό ζήτημα ασφαλείας, καθώς θα μπορούσε να οδηγήσει σε καταστάσεις όπου κακόβουλες σελίδες ενδέχεται να προσκαλέσουν τους χρήστες να μοιραστούν ένα άρθρο μέσω email, αλλά καταλήγουν να εκθέτουν αρχεία από τη συσκευή τους.

Στο παρακάτω βίντεο, μπορείτε να δείτε πώς λειτουργεί το σφάλμα:

Ωστόσο, ο Wylecial περιέγραψε το σφάλμα ως “όχι πολύ σοβαρό” καθώς χρειάζεται αλληλεπίδραση των χρηστών και social engineering για να εξαπατηθούν οι χρήστες και να εκθέσουν τοπικά αρχεία. Ωστόσο, παραδέχτηκε ότι ήταν επίσης πολύ εύκολο για τους εισβολείς “να κάνουν το εκτεθειμένο αρχείο αόρατο στον χρήστη”.

Apple σφάλμα
Κριτική στην Apple για τον τρόπο που διαχειρίζεται τα patches

Ωστόσο, το πραγματικό ζήτημα εδώ δεν είναι μόνο το ίδιο το σφάλμα στον Safari browser και πόσο εύκολο ή δύσκολο είναι να χρησιμοποιηθεί. Το θέμα είναι το πώς χειρίστηκε η Apple την αναφορά του σφάλματος.

Η Apple δεν κατάφερε να ετοιμάσει ένα patch έγκαιρα (έχουν περάσει περισσότεροι από τέσσερις μήνες). Επιπλέον, προσπάθησε να καθυστερήσει τον ερευνητή να δημοσιοποιήσει τα ευρήματά του μέχρι την επόμενη άνοιξη, σχεδόν ένα ολόκληρο έτος από την αρχική αναφορά του σφάλματος και πέρα ​​από την “Προθεσμία γνωστοποίησης ευπαθειών”, που έχει οριστεί στις 90 ημέρες.

Καταστάσεις όπως αυτή που έπρεπε να αντιμετωπίσει ο Wylecial, γίνονται όλο και πιο συχνές μεταξύ των κυνηγών σφαλμάτων iOS και macOS.

Η Apple – παρά την ανακοίνωση ενός bug bounty προγράμματος – κατηγορείται όλο και περισσότερο για καθυστέρηση των σφαλμάτων και προσπάθεια να πείσει τους ερευνητές να μην δημοσιοποιούν τα ευρήματά τους.

Για παράδειγμα, όταν ο Wylecial αποκάλυψε το σφάλμα του Safari browser σήμερα, άλλοι ερευνητές ανέφεραν παρόμοιες καταστάσεις όπου η Apple καθυστέρησε να διορθώσει σφάλματα ασφαλείας.

Όταν τον Ιούλιο η Apple ανακοίνωσε τους κανόνες του προγράμματος Security Research Device, η ομάδα ασφαλείας Project Zero της Google αρνήθηκε να συμμετάσχει, ισχυριζόμενη ότι οι κανόνες του προγράμματος γράφτηκαν ειδικά για να περιορίσουν τη δημόσια αποκάλυψη.

Τρεις μήνες πριν, τον Απρίλιο, ένας άλλος ερευνητής ασφαλείας ανέφερε, επίσης, μια παρόμοια εμπειρία με το bug bounty πρόγραμμα της Apple, το οποίο περιέγραψε ως “αστείο”, λέγοντας ότι στόχος του προγράμματος είναι “να κρατήσει κλειστό το στόμα των ερευνητών για όσο το δυνατόν περισσότερο”.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Τα ransomware ευθύνονται για τις μισές παραβιάσεις δεδομένων σε νοσοκομεία

Σχεδόν οι μισές από τις παραβιάσεις δεδομένων που έγιναν σε νοσοκομεία και στον ευρύτερο τομέα της υγειονομικής περίθαλψης οφείλονται σε επιθέσεις ransomware,...

Οι αστρονόμοι μόλις βρήκαν την παλαιότερη υπερμεγέθη μαύρη τρύπα

Ένα κβάζαρ (quasar) ανακαλύφθηκε σε μια σκοτεινή γωνία του διαστήματος - πάνω από 13,03 δισεκατομμύρια έτη φωτός μακριά - και περιέχει μια...

Ποια είναι τα καλύτερα και πιο προσιτά τηλέφωνα 5G για το 2021

Σύντομα η αγορά θα κατακλιστεί με συσκευές 5G μεσαίας κατηγορίας. Όλο αυτό που θα συμβεί θα είναι πραγματικά συναρπαστικό: θα μπορείτε να...

Παραβιάστηκαν επαληθευμένα Twitter accounts σε cryptocurrency scam με το όνομα του Elon Musk!

Το τελευταίο διάστημα, χάκερς παραβιάζουν επαληθευμένα Twitter accounts σε cryptocurrency giveaway scam (απάτη δωρεάς κρυπτονομισμάτων), στο οποίο χρησιμοποιείται το όνομα του CEO...

Classiscam: Απατεώνες «πλαστογραφούν» brands κι εξαπατούν χρήστες Ευρωπαϊκών αγορών!

Δεκάδες εγκληματικές συμμορίες δημοσιεύουν ψεύτικες διαφημίσεις σε δημοφιλείς online αγορές, για να προσελκύσουν ανυποψίαστους χρήστες σε «δόλια» εμπορικά sites ή σε phishing...

iOS 14.4: Θα εμφανίζει ειδοποίηση για τις επισκευές με μη γνήσιες κάμερες

Ξεκινώντας από το iPhone 11, η Apple έχει προσθέσει μια ειδοποίηση στο iOS που λέει στον χρήστη πότε η συσκευή διαθέτει μια...

Facebook: Μηνύει προγραμματιστές Chrome επεκτάσεων για κλοπή δεδομένων

Το Facebook υπέβαλε μια αγωγή εναντίον δύο Πορτογάλων υπηκόων για την ανάπτυξη Chrome επεκτάσεων, που συγκέντρωναν δεδομένα χρηστών του Facebook.

Η Cisco δεν διορθώνει 74 bugs σε routers RV που έφτασαν στην EOL τους

Η Cisco δήλωσε χθες ότι δεν πρόκειται να κυκλοφορήσει firmware updates για να διορθώσει 74 ευπάθειες που έχουν αναφερθεί ότι υπάρχουν στα...

Χάκερ διαπράττει νέα εγκλήματα ενώ περιμένει την απελευθέρωσή του!

Συμπονετική απελευθέρωση δόθηκε σε έναν χάκερ από το Κόσοβο μετά την καταδίκη του. Ο χάκερ παρείχε προσωπικά αναγνωρίσιμα στοιχεία πάνω από 1.000...

Η Nintendo αποκλείει hacking βίντεο του Game & Watch

Δύο αξιώσεις για πνευματικά δικαιώματα εναντίον ενός YouTuber έχουν κατατεθεί από την Nintendo, για ένα βίντεο που παρουσιάζει hacking του Super Mario...