Vulnerabilidad de Safari sin parche permite robo de archivos locales

El problema fue descubierto en abril por Pawel Wylecial, un investigador de seguridad con sede en Polonia. Apple dijo en ese momento que había comenzado a investigar el problema, pero el gigante tecnológico le dijo a Wylecial a mediados de agosto que solo lo abordaría con una actualización de seguridad en la primavera de 2021. Apple […]

El problema fue descubierto en abril por Pawel Wylecial, un investigador de seguridad con sede en Polonia. Apple dijo en ese momento que había comenzado a investigar el problema, pero el gigante tecnológico le dijo a Wylecial a mediados de agosto que solo lo abordaría con una actualización de seguridad en la primavera de 2021.

Apple le pidió al investigador que pospusiera la divulgación hasta entonces, pero Wylecial decidió que era demasiado tiempo e hizo públicos sus hallazgos esta semana.

La vulnerabilidad está relacionada con la API Web Share, que permite a los usuarios compartir enlaces desde Safari a través de aplicaciones de terceros (por ejemplo, software de mensajería y correo electrónico).

“El problema es que el esquema de archivo: está permitido y cuando un sitio web apunta a dicha URL ocurre un comportamiento inesperado. En caso de que dicho enlace se pase a la función navigator.share , se incluye un archivo real del sistema de archivos del usuario en el mensaje compartido que conduce a la divulgación del archivo local cuando un usuario lo comparte sin saberlo ”, explicó Wylecial en una publicación de blog.

Lanzar un ataque requiere convencer al usuario objetivo de que visite un sitio web malicioso y realice ciertas acciones, pero el investigador ha descrito un escenario de ataque que podría tener éxito.

Creó un sitio web que contenía una imagen de un gatito e instaba a los visitantes a compartirla con sus amigos usando un botón dedicado en la página. Cuando el usuario presiona el botón, se le pide que seleccione la aplicación que desea usar para compartir un enlace a la imagen. Si lo envían por correo electrónico, el código del atacante, además de agregar la URL de la imagen, adjunta un archivo arbitrario del sistema de la víctima.

Wylecial mostró cómo el atacante puede robar el archivo passwd local o un archivo que almacena el historial de navegación del usuario. Señaló que en algunos casos, dependiendo de la aplicación que utilicen, es poco probable que la víctima note que se ha adjuntado un archivo al correo electrónico (tendrían que desplazarse hacia abajo para ver el archivo adjunto) o es posible que el nombre del archivo adjunto no mostrarse, lo que aumenta las posibilidades de éxito del hack.

Wylecial dice que ha probado el ataque en dispositivos que ejecutan iOS 13.4.1 y 13.6, macOS Mojave 10.14.16 con Safari 13.1 y macOS Catalina 10.15.5 con Safari 13.1.1.