Apple wil Safari-bug die toegang geeft tot bestanden niet oplossen

Een lek in Safari laat hackers toe om slachtoffers te misleiden zodat ze persoonlijke bestanden stelen. Apple plant het probleem pas volgend jaar op te lossen.

Beveiligingsonderzoekers ontdekten een onzorgvuldigheid in Safari die cybercriminelen kunnen misbruiken op bestanden van gebruikers te ontfutselen. De bug in kwestie situeert zich in de functie die toelaat om snel url’s te delen, bijvoorbeeld via mail. Via die API kunnen websites lezers bijvoorbeeld uitnodigen om een artikel of pagina te delen via mail.

Moeilijk te misbruiken

De API ondersteunt niet alleen website-url’s maar geeft ook toegang tot de lokale bestanden van een gebruiker (via file://). Die toegang stelt een aanvaller in staat om een misleidende link op te stellen waarmee eigenlijk een bestand wordt gedeeld. De onderzoekers geven het voorbeeld van een foto van een katje met daaronder een deelknop. Wie via die knop de kat wil delen, mailt eigenlijk zijn /etc/passwd-bestand.

De bug treft Safari op zowel iOS als macOS maar is niet zo rampzalig. Er is immers heel wat social engineering nodig om iemand te overtuigen om niet alleen op een deelknop te klikken, maar ook de juiste ontvanger te selecteren zodat het effectief de hacker is die de gevoelige gegevens bemachtigt. De techniek lijkt het geschiktst als onderdeel van een bredere aanval waarin een hacker zich kan voordoen als bijvoorbeeld IT-support binnen een bedrijf, of een vriend of familielid van het doelwit.

Apple werkt niet mee

Redteam, dat de bug ontdekte, bracht Apple al vier maanden geleden op de hoogte. Hoewel het niet om een complex probleem gaat, lanceerde Apple nog geen patch. Het bedrijf probeerde bovendien om de beveiligingsonderzoekers te overtuigen om hun bevindingen in de doofpot te steken tot minstens de lente van volgend jaar. De sector hanteert in de regel een waarschuwingstijd van 90 dagen voor de publicatie van een nieuwe bug, al wordt die wel eens verlengd wanneer het om een complex probleem gaat en bedrijven duidelijk hun best doen om fouten zo snel mogelijk te mitigeren.

De groteske vertragingen bij Apple lijken geen unicum. Als reactie op een tweet over de situatie van Redteam postte een andere beveiligingsonderzoekers gelijkaardige tegenwerking van Apple. Die onbereidheid om bugs te aanvaarden als wat ze zijn en ze te verhelpen is erg vreemd, zeker voor een bedrijf dat zo prat gaat op de eigen beveiliging.