Error descubierto en el navegador Safari después del parche de retraso de Apple

Un investigador de seguridad encontró un error en el navegador Safari de Apple. Este error de Safari puede permitir a los piratas informáticos filtrar o robar archivos de los dispositivos del usuario. Los detalles sobre el error de Safari se publicaron ayer en un blog.

El investigador de seguridad encontró un error en el navegador Safari

Error de Safari

El investigador de seguridad Pawel Wylecial, también cofundador de la empresa de seguridad polaca REDTEAM.PL, descubrió el error. A principios de abril, Pawel Wylecial informó sobre el error, pero no hubo solución. Luego, el investigador cargó la publicación con sus hallazgos. Sin embargo, el fabricante del sistema operativo tardó en corregir el error.

En un Blog post, el investigador escribió que el error permanece en la API Web Share de Safari. Permite a los usuarios compartir enlaces, archivos y otro contenido del navegador a través de aplicaciones de terceros. Safari es compatible con iOS y macOS, lo que permite compartir archivos almacenados en el disco duro local.

Este es un problema de privacidad importante, ya que puede permitir que páginas web maliciosas inviten a los usuarios a compartir un artículo por correo electrónico. Pero al final, filtran en secreto un archivo de su dispositivo.

Sin embargo, el investigador de Wylecial dijo que el error no es muy grave. Cómo se necesitan la interacción del usuario y la ingeniería social compleja para engañar a los usuarios para que filtren archivos locales. Pero también dijo que los atacantes podrían hacer que el usuario compartiera el archivo fácilmente.

Ahora, el problema principal no es solo el error, sino que la pregunta es cómo manejó Apple el informe de error. Apple ya no pudo tener un parche listo, y la compañía también trató de retrasar al investigador para que no publicara su descubrimiento.

Las situaciones a las que se enfrentó Wylecial se están volviendo comunes entre los cazadores de errores de iOS y macOS.

Al igual que cuando el investigador reveló sobre el error, todos los demás investigadores también informaron el mismo problema que Apple tomó para corregir los errores que informaron hace un año.

En julio, Apple anunció las reglas del programa Security Research Device, en el que el equipo de seguridad Vaunted Project Zero de Google no participó. El equipo dijo que las reglas del programa fueron escritas para limitar la confesión pública y silenciar a los investigadores de seguridad sobre los hallazgos.

En abril, otro investigador informó lo mismo con el programa de recompensa por errores de Apple, al que dijo «una broma».