Hónapok óta sebezhető a Safari böngésző, de az Apple csak lapít

A legnagyobb probléma nem az, hogy az alkalmazás adatszivárgást okozhat, hanem az, hogy az Apple megpróbáltatja elhallgattatni azokat, akik erre rájönnek.

A legnagyobb cégekkel is előfordul, hogy alkalmazásaikba egy olyan hiba kerül, melyek valamilyen veszélyt jelenthetnek a felhasználókra, például azzal, hogy általuk kiszivároghatnak adataik vagy megosztott fájljaik. Az ilyen jellegű problémák feltérképezésére rengeteg cég jött létre, akik folyamatos kutatásokat végeznek, feltérképezik a sebezhetőségeket, és ezekre figyelmeztetik a gyártókat, fejlesztőket. Pontosan ez történt az Apple böngészője, a Safari esetében is, azonban a cég több szakértő szerint is megpróbálta elodázni a megoldást.

Pawel Wylecial, a REDTEAM.PL nevű lengyel kiberbiztonsági cég egyik alapítója még áprilisban fedezett fel egy biztonsági rést a Safari iOS és MacOS verziójában, melyek az alkalmazás Web Share API implementációjához kapcsolódnak. Ez a standard egy olyan böngészők között alkalmazásprogramozási felület, melyen keresztül lehetséges szövegek, linkek, fájlok és egyéb tartalmak megosztása. A böngésző megosztható fájljai a felhasználó eszközén találhatók, melyekhez azonban egy rosszindulatú oldal képes hozzáférni azzal, hogy a felhasználókat ráveszi, hogy osszanak meg e-mailen keresztül egy linket, eközben a honlap átfésüli a gépen található fájlokat.

Wylecial a gondot még áprilisban jelezte az Apple felé, akiknek az iparágban elfogadott standardok alapján 90 napjuk lett volna befoltozni a biztonsági rést. Az igazán megdöbbentő az egész esetben, hogy nem csak arról van szó, hogy négy hónap elteltével a probléma még mindig fennáll, hanem hogy az óriásvállalat még arra is megpróbálta rávenni a kutatókat, hogy a jelentést csak egy év múlva hozzák nyilvánosságra.

Miután a lengyel szakértő megosztotta a történetet a Twitteren, rengetegen csatlakoztak hozzá, és írták le tapasztalataikat. Volt aki tavaly júniusban fedezett fel egy hibát, melyet az Apple csak idén ősszel, a bejelentés után több mint egy évvel tervez kijavítani. Mások arról számoltak be, hogy megígérték nekik, hogy az általuk talált problémát kijavítják, mostanra azonban a cég már azt állítja, hogy nincs is semmi gond.

For two of my bugs they’ve told me same thing that it will be fixed on “Fall of 2020” and yesterday I ask for the update. They replied it’s not a bug 😅

— Nikhil Mittal (@c0d3G33k) August 24, 2020

Az Apple nemrégiben egyébként bejelentett egy biztonsági programot, mely elméletben jutalmazná azokat a kutatókat, akik biztonsági réseket fedeznek fel a cég alkalmazásaiban. Erről azonban több szakértő is jelezte, hogy az egész program úgy van kialakítva, hogy a cég korlátozhassa a kutatások publikálását azzal, hogy visszatartja azok kifizetését. Az Apple ezekre a vádakra egyelőre nem reagált.

ComputerWorld.hu