研究人员发现Safari有资料外泄露洞可能导致黑客窃取iOS及Mac设备文件,不过4月通报后,苹果却计划2021年春天才会修补。
这项漏洞是由波兰安全公司REDTEAM创办人Pawel Wylecial发现,存在Safari的Web Share API中。Safari Web Share API允许用户经由第三方App(包括苹果自己或第三方邮件和通信App)分享连接、文件、文本或其他内容。利用file:语法即可将用户设备上的文件分享出去。
但当某个外部网站指向这个file:连接,就会出问题。Wylecial解释,此时连接会被发送到Safari的navigator.share函数,就会把用户设备上文件系统的某个文件加入到邮件或对话消息中而发送出去,导致本机文件外泄。
原本问题并不大,因为这需要用户有发送连接的动作,但是在某些情况下,用户会看不到被分享的文件,例如使用macOS及iOS版Mail App时。研究人员举例,当黑客发动点击诈骗,在恶意网站上以可爱的动物图片或文章,邀请用户分享给他人,并加入以邮件或消息App分享的选项。用户以为他分享的是动物照片,但其实黑客要用户分享的是/etc/passwd的本机文件。
使用时macOS及iOS版Mail App会发生用户看不到分享出去的文件。在macOS版本中,用户若不将鼠标拉到最下方,看不到包含密码的附件。在iOS版本中,用户更只会看到没有文件名的附件。iOS版的Gmail App则会显示被混淆(obfsucated)文件名的文件。
唯一例外是iOS版Message App,细心一点的用户会看到密码文件被附加上在消息中。
研究人员仅列出他测试过的问题版本,包括iOS (13.4.1, 13.6)和macOS Mojave 10.14.16的Safari 13.1 (14609.1.20.111.8) ,以及macOS Catalina 10.15. 5上的Safari 13.1.1 (15609.2.9.1.2)。
Wylecial于今年4月中通报苹果这项漏洞,苹果也说会调查。不过之后就没有下文,直到7月研究人员扬言要公布漏洞,苹果才有所回应。苹果8月中要求他延迟公布,表示会在2021年春天修补。由于研究人员认为苹果态度忽视,且一个漏洞要等快1年才修补过于离谱,于是拒绝这个要求,并于本周公布漏洞细节。