Un investigador revela un error en Safari que solo se solucionará en… ¿2021?

el investigador de seguridad Pawel Wylecialcofundador de la empresa de seguridad polaca REDTEAM.PL, publicó detalles en su blog sobre un error en Safari que se puede usar para filtrar o robar archivos de dispositivos, ya sean iPhones, iPads o Macs.

Wylecial dijo que había informado el error a Apple en abril pasado, pero que decidió revelar públicamente la falla esta semana después de que Apple dijera que retrasó la corrección del error casi un año (!) Hasta mediados de 2021.

Según el investigador, el error tiene sus raíces en la API.1 Compartir webun estándar que permite compartir enlaces, archivos y otros datos desde un navegador a través de aplicaciones de terceros.

Más precisamente, el problema radica en el hecho de que la tecnología puede, en algunos casos, incluir archivos del sistema, que pueden contener datos confidenciales. A pesar de los arrepentimientos, Wylecial dijo que la falla es de «bajo riesgo», ya que es necesario interactuar con un enlace/archivos para facilitar la fuga de datos.

Señaló, sin embargo, que es posible que muchos no sepan que están compartiendo datos del dispositivo, ya que los archivos adjuntos pueden volverse prácticamente «invisibles» durante el proceso, como se ve en el siguiente video de prueba de concepto:

Sin embargo, el problema real aquí no es solo el error en sí y lo peligroso que es, sino cómo Apple ha estado manejando la falla. En su publicación, el investigador insertó una cronología de eventos desde el descubrimiento del problema (cuando Apple también fue alertada) hasta su divulgación pública (ahora).

Más precisamente, después de notificar a Apple de la falla el 17/4, el investigador solicitó actualizaciones sobre la investigación del caso al menos siete veces (en el transcurso de cuatro meses), muchas de las cuales quedaron sin respuesta. Solo el 14 de este mes, la compañía respondió afirmando que tienen la intención de “abordar el problema con una actualización de seguridad que se lanzará en la primavera. [do hemisfério norte] 2021”, es decir, solo a partir de junio del próximo año.

El gigante de Cupertino no proporcionó una razón por la demora en el lanzamiento de una solución para el problema, pero hay informes de que esto se está volviendo cada vez más común entre los investigadores de seguridad que informan errores de iOS/iPadOS/macOS. En este sentido, muchos profesionales afirman que la empresa está retrasando las correcciones a propósito.

Incluso cuando Apple anunció las reglas del Programa de Investigación de Seguridad de Dispositivos (Programa de dispositivos de investigación de seguridad), el año pasado, el equipo de seguridad proyecto cero (de Google) se negó a participar, alegando que las reglas se escribieron específicamente para «limitar la divulgación pública y silenciar a los investigadores de seguridad sobre sus hallazgos».

Artículos relacionados