La empresa de seguridad REDTEAM.PL encontró un error dentro de la API Web Share de Safari que les permitía robar archivos locales del dispositivo objetivo y robar el historial de navegación de Safari. El equipo reveló en privado el error a Apple, que reconoció el problema pero quería que la divulgación pública esperara hasta que se emitiera una solución en una actualización de seguridad de primavera de 2021 (casi un año después de la divulgación privada).
API Safari Web Share
La API Web Share de Safari es una API entre navegadores para compartir URL, archivos, texto y otro contenido. El equipo descubrió que la API es capaz de compartir archivos almacenados en el disco duro de un usuario cambiando el esquema de URL (archivo: //). Un sitio web que aproveche este error podría robar archivos si un usuario comparte el artículo en otro lugar.
El historial de navegación también podría filtrarse de esta manera. El equipo dice que el error “no es muy grave” porque requiere la interacción del usuario y la interacción social para engañar a la persona para que filtre sus archivos. Tienen más problemas con la respuesta de Apple, diciendo que la solicitud de la compañía de retrasar la divulgación durante casi un año completo está “muy por encima del plazo estándar de divulgación de vulnerabilidades de 90 días que es ampliamente aceptado en la industria de la seguridad de la información”.
De hecho, el programa de dispositivos de investigación de seguridad de Apple presentado en julio limita a los investigadores de seguridad y pone el control de la divulgación en manos de Apple.
