Um bug no navegador Safari permite que hackers tenham acesso a arquivos locais dos usuários de iPhone ou de computadores com macOS. A falha foi descoberta em abril deste ano, mas de acordo com o pesquisador de segurança Pawel Wylecial, a Apple teria adiado a correção para 2021.
- Adobe Lightroom apagou fotos no iPhone devido a bug
- Apple é processada por falha “flexgate” na tela do MacBook Pro
Wylecial, que é co-fundador da empresa de segurança polonesa REDTEAM.PL, afirma que o bug é relacionado à API Web Share, que permite compartilhar textos, links e outros arquivos entre navegadores. Com a falha, o Safari também pode compartilhar documentos armazenados no disco local dos dispositivos dos usuários, como os arquivos do sistema, que podem conter informações sensíveis.
A brecha de segurança abre espaço para que sites maliciosos possam, por exemplo, oferecer um link para compartilhamento de um artigo por e-mail – e roubar ou vazar arquivos sigilosos durante o processo.
De acordo com o pesquisador, o bug não é classificado como uma falha “muito séria”, já que depende da interação do usuário e de uma engenharia que induza o vazamento de dados. Ainda assim, caso haja a intenção, é extremamente fácil tornar os arquivos invisíveis, de modo que o usuário acabe compartilhando as informações sem nem perceber, como mostra o vídeo abaixo:
Pesquisadores criticam a demora da Apple para correção de bugs
A postura da Apple em relação à liberação de atualizações para correção de falhas vem sendo criticada por diversos caçadores de bugs. Assim como aconteceu com o erro reportado por Wylecial, a empresa vem sendo acusada de segurar os patches de segurança por muito tempo – e alguns pesquisadores afirmam que essa demora é, inclusive, proposital.
A Apple conta com seu próprio programa para descoberta de falhas, mas já foi criticada pela equipe de segurança do Project Zero (Google), por trabalhar com regras que têm a intenção de “limitar a divulgação pública e amordaçar pesquisadores de segurança”.
Em abril, um pesquisador relatou um problema semelhante com o programa da gigante de Cupertino, que teria tentado adiar a publicação de suas descobertas. Na época, ele descreveu a experiência como “uma piada”. O padrão da indústria para revelar publicamente falhas de segurança é de 90 dias.
Com informações: ZDNet
Bug no Safari permite roubar arquivos do iPhone ou Mac
Bug no Safari permite roubar arquivos do iPhone ou Macpublicado primeiro em https://tecnoblog.net
Nenhum comentário:
Postar um comentário