O pesquisador de segurança Pawel Wylecial, cofundador da empresa de segurança polonesa REDTEAM.PL, publicou em seu blog detalhes sobre um bug no Safari que pode ser usado para vazar ou roubar arquivos de dispositivos, sejam iPhones, iPads ou Macs.
Wylecial disse que havia relatado o bug à Apple em abril passado, mas que decidiu divulgar a falha publicamente nesta semana após a Maçã afirmar que adiou a correção do bug em quase um ano(!), para meados de 2021.
Segundo o pesquisador, o bug está enraizado na API1Application programming interface, ou interface de programação de aplicações. Web Share, um padrão que permite o compartilhamento de links, arquivos e outros dados de um navegador por meio de aplicativos de terceiros.
Mais precisamente, o problema está no fato de que a tecnologia pode, em alguns casos, incluir arquivos do sistema — os quais podem conter dados sigilosos. Apesar dos pesares, Wylecial disse que a falha é de “baixo risco”, uma vez que é necessário interagir com um link/arquivos para facilitar o vazamento de dados.
Ele observou, no entanto, que muitos podem não estar cientes de que estão compartilhando dados do dispositivo, já que os arquivos anexos podem se tornar praticamente “invisíveis” durante o processo, como visto no vídeo de prova de conceito a seguir:
No entanto, o verdadeiro problema aqui não é apenas o bug em si e sua periculosidade, mas como a Apple vem tratando a falha. Na sua publicação, o pesquisador inseriu um cronograma dos eventos desde a descoberta do problema (quando a Apple também foi alertada) até a divulgação pública dele (agora).
Mais precisamente, após avisar a Apple da falha no dia 17/4, o pesquisador solicitou atualizações sobre a investigação do caso pelo menos sete vezes (ao decorrer de quatro meses), muitas das quais não foram respondidas. Somente no dia 14 deste mês, a companhia respondeu afirmando que eles pretendem “resolver o problema com uma atualização de segurança a ser lançada na primavera [do hemisfério norte] de 2021” — ou seja, somente a partir de junho do ano que vem.
A gigante de Cupertino não forneceu um motivo para a demora na liberação de uma correção para o problema, porém há relatos de que isso está se tornando cada vez mais comum entre pesquisadores de segurança que relatam bugs do iOS/iPadOS/macOS. Nesse sentido, muitos profissionais afirmam que a empresa está atrasando as correções de propósito.
Inclusive, quando a Apple anunciou as regras do Programa de Pesquisa de Segurança para Dispositivos (Security Research Device Program), no ano passado, a equipe de segurança Project Zero (do Google) se recusou a participar — alegando que as regras foram escritas especificamente para “limitar a divulgação pública e amordaçar os pesquisadores de segurança sobre suas descobertas”.
via ZDNet
Notas de rodapé
- 1Application programming interface, ou interface de programação de aplicações.
