48 3052-8500

Pesquisador de segurança digital revela bug no navegador da Apple - OSTEC | Segurança digital de resultados

Geral 1min de Leitura - 02 de setembro de 2020

Pesquisador de segurança digital revela bug no navegador da Apple

ícone do safari, navegador da Apple

This post is also available in: Português

Pawel Wylecial, cofundador da empresa de segurança polonesa REDTEAM.PL, publicou em seu blog detalhes sobre um bug no Safari, que pode ser usado para vazar ou roubar arquivos de dispositivos da Apple – iPhones, iPads ou Macs.

O pesquisador disse que relatou o bug à Apple em abril e decidiu divulgar a falha publicamente nesta semana após a empresa afirmar que a correção do bug foi adiada para 2021.

Segundo Wylecial, o bug está enraizado na API Web Share, um padrão que permite o compartilhamento de links, arquivos e outros dados de um navegador por meio de aplicativos de terceiros. O problema está no fato de que a tecnologia pode, em alguns casos, incluir arquivos do sistema, que podem conter dados sigilosos.

A falha é de “baixo risco”, pois é necessário interagir com um link/arquivos para facilitar o vazamento de dados.

Porém, o pesquisador observou que muitos usuários podem não estar cientes de que estão compartilhando dados do dispositivo, pois esses anexos são praticamente invisíveis durante o processo.

Após comunicar a Apple sobre a falha – no dia 17/04 -, o Wylecial solicitou atualizações sobre a investigação do caso cerca de sete vezes, muitas das quais não foram respondidas.

Foi somente no dia 14 de agosto que a empresa respondeu afirmando que eles pretendem resolver o problema com uma atualização de segurança a ser lançada na primavera de 2021. Ou seja, a falha será corrigida apenas em junho do ano que vem.

Não houve uma justificativa para a demora na liberação de uma correção para o problema, porém, há relatos de que isso é cada vez mais comum entre pesquisadores de segurança digital que relatam bugs do IOS/iPadOS/macOS. Os profissionais afirmam que a Apple está atrasando as correções de propósito.

No ano passado, quando a Apple anunciou as regras do Programa de Pesquisa de Segurança para Dispositivos, a equipe de segurança do Google, Project Zero, se recusou a participar, alegando que as regras foram escritas especificamente para limitar a divulgação pública e amordaçar os pesquisadores de segurança digital sobre suas descobertas.

Via: ZDNet.

This post is also available in: Português

Logins roubados do Fortnite enriquecem cibercriminosos

Postagem anterior