Un bogue dans le navigateur Safari permet aux pirates d’accéder aux fichiers locaux des utilisateurs d’iPhone ou d’ordinateurs équipés de macOS. Le bug a été découvert en avril de cette année, mais selon le chercheur en sécurité Pawel Wylecial, Apple aurait reporté la correction en 2021.
Wylecial, qui est co-fondateur de la société de sécurité polonaise REDTEAM.PL, déclare que le bogue est lié à l’API Web Share, qui permet de partager du texte, des liens et d’autres fichiers entre les navigateurs. Grâce à ce bogue, Safari peut également partager des documents stockés sur le disque local des appareils des utilisateurs, tels que les fichiers système, qui peuvent contenir des informations sensibles.
Cette faille de sécurité laisse la place à des sites web malveillants qui peuvent, par exemple, proposer un lien pour partager un article par courrier électronique ? et voler ou divulguer des fichiers sensibles pendant le processus.
Selon le chercheur, le bogue n’est pas classé comme une défaillance “très grave” car il dépend de l’interaction de l’utilisateur et de l’ingénierie qui induit une fuite de données. Néanmoins, si l’intention est de le faire, il est extrêmement facile de rendre les fichiers invisibles, de sorte que l’utilisateur finit par partager les informations sans même s’en rendre compte, comme le montre la vidéo ci-dessous :
Les chercheurs critiquent le retard d’Apple dans la correction des bugs
La position d’Apple sur la publication de mises à jour de corrections de bogues a été critiquée par plusieurs chasseurs de bogues. Comme pour le bug signalé par Wylecial, la société est accusée de détenir des patchs de sécurité depuis longtemps ? et certains chercheurs affirment que ce retard est même délibéré.
Apple a son propre programme de recherche de fautes, mais a déjà été critiqué par l’équipe de sécurité du Projet Zéro (Google) pour avoir travaillé avec des règles visant à “limiter la divulgation publique et bâillonner les chercheurs en sécurité”.
En avril, un chercheur a signalé un problème similaire avec le programme du géant Cupertino, qui aurait tenté de retarder la publication de ses conclusions. À l’époque, il a décrit l’expérience comme une “blague”. La norme de l’industrie pour révéler publiquement les failles de sécurité est de 90 jours.
