En säkerhetsbrist i Safari gör att känsliga filer kan bli åtkomliga via webbläsaren trots att de normalt inte ska vara det. Något som säkerhetsforskare på Redteam.pl avslöjar enligt webbsajten 9to5mac.
Problemet ligger i Safaris ”Web Share API” som används för att lägga in dela-knappar på webbsajter. Knappar som normalt används för att dela webbinnehåll till andra via exempelvis mejl eller meddelande-appar, men som även kan nyttjas på ett illvilligt sätt.
Säkerhetsforskarna upptäckte att Web Share API:et kan användas för att dela olika resurser med adresser som börjar på ”file://”. Det vill säga interna adresser till filer på den lokala enheten, och det omfattar även systemfiler.
Rent teoretiskt skulle dela-knappen kunna användas för att skicka historiken för Safari eller sparade lösenord om användare luras av hackare att skicka filerna. Nämnvärt är att det alltså inte är dela-knapparna i sig själva är inte sårbara för attacker, så du kan fortfarande surfa lugnt i Safari.
Redteam.pl rapporterade problemet till Apple i april 2020 och fick då svaret att företaget inte tänkte lösa buggen i fråga förrän våren 2021. Webbsajten 9to5mac rapporterar dock att senaste betaversionerna av iOS 14 och macOS Big Sur redan har buggfixar som löser problemet.
Som avslutning kan vi med göra det extra tydligt att sårbarheten är allvarlig då den kringgår Apples sandlådemiljö som finns i macOS och iOS. Men det betyder inte att du är sårbar för hackerattacker över internet. Var bara försiktig och kritiskt granska alla förfrågningar om delningar av filer och annat från Safari så är du säker.
Redteam.pl har en ordentlig genomgång av sårbarheten på sin officiella webbsajt.