Safari, un nouveau bug a été révélé par un chercheur

Un chercheur en sécurité a révélé les détails d’une faille de sécurité du navigateur Safari qui pourrait permettre de partager des fichiers avec d’autres navigateurs et applications et ouvrir la porte à l’exploitation par des pirates. Cette divulgation est intervenue seulement après qu’Apple ait annoncé qu’ils retarderaient la correction de la vulnérabilité de près d’un an. Le chercheur a évalué la vulnérabilité comme étant «pas très grave».

Le chercheur polonais Pawel Wylecial, co-fondateur de REDTEAM.PL a dévoilé la faille. Il a attribué la faille à l’implémentation par Safari de l’API Web Share, selon un article de blog décrivant sa découverte. L’API, qui est relativement nouvelle, permet aux utilisateurs de partager des liens depuis le navigateur via des applications tierces, telles que celles distribuées via des applications de messagerie.

safari

Le problème réside dans l’implémentation “file : scheme” sur les versions mobile et bureau de Safari qui permet d’accéder aux fichiers stockés sur le disque dur local de l’utilisateur. Cela peut conduire quelqu’un à partager sans le savoir des fichiers ou des données personnels avec un site malveillant en supposant qu’il ne partage qu’un article ou un lien avec ses amis, a écrit Wylecial.

“Le problème est que file: scheme est autorisé, et lorsqu’un site Web pointe vers une telle URL, un comportement inattendu se produit”, a expliqué Wylecial dans son article. “Dans le cas où un tel lien est transmis à la fonction navigator.share, un fichier du système de fichiers utilisateur est inclus dans le message partagé, ce qui conduit à la divulgation du fichier local lorsqu’un utilisateur le partage sans le savoir.”

Ce bug de Safari n’est pas très grave mais…

Wylecial a reconnu que «le problème n’est pas très grave» car il oblige un utilisateur de Safari à agir plutôt que de permettre à un attaquant de contrôler à distance le système d’une personne à son insu.

Cependant, il a déclaré qu’il n’était pas difficile de rendre le fichier partagé invisible à l’utilisateur, en comparant la possibilité que la faille donne à un attaquant d’utiliser le clickjacking pour essayer «de convaincre l’utilisateur sans méfiance d’effectuer une action», a-t-il déclaré.

Le fait que le faille ne soit pas très sérieuse n’est pas le plus important. La divulgation de Wylecial met une fois de plus en évidence le mépris d’Apple quand il s’agit de corriger les vulnérabilités découvertes par des chercheurs tiers et prouve encore la froideur de sa relation avec ces chercheurs.

safari

Wylecial a signalé la faille de Safari à Apple le 17 avril de cette année, le géant américain en a pris connaissance quatre jours plus tard avoir reçu son rapport. Après de nombreux échanges, au début du mois d’Août, Apple a annoncé qu’ils régleraient le problème dans la mise à jour du printemps 2021 de Safari, ce qui serait près d’un an après le signalement du problème.

Cela a incité Wylecial à révéler ses recherches, a-t-il déclaré. Le chercheur a déclaré qu’il a déclaré à Apple “qu’il n’est pas raisonnable d’attendre encore un an, alors que quatre mois se sont déjà écoulés depuis le signalement du problème.” Il a ensuite rendu public ses recherches.

En effet, la divulgation montre la tension persistante entre Apple et les chercheurs en sécurité, dont beaucoup pensaient qu’elle était en passe d’être résolue lorsque la société a finalement ouvert son programme de bug bounty au public en décembre 2019, une décision annoncée quatre mois auparavant lors de la conférence Black Hat en Août 2019.

Le remaniement du programme public de bug bounty a augmenté les paiements et élargi le terrain de jeu de la plate-forme pour les chercheurs par rapport au programme précédent, qui était sur invitation uniquement avec des récompenses pouvant atteindre 200 000 $ sur des plates-formes limitées. Désormais, les chercheurs peuvent recevoir jusqu’à 1 million de dollars pour les failles zero-day les plus critiques de son dernier matériel, et entre 25 000 et 500 000 dollars pour la découverte de vulnérabilités dans une gamme d’autres produits, notamment les Mac, iPhone, iPad, et Apple TV.

Cependant, même après ces changements, certains chercheurs notables, dont Ian Beer du Project Zero de Google, connu pour avoir découvert un certain nombre de failles zero-day dans iOS, ont hésité à participer au programme de bug bounty d’Apple.

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x