Le chercheur en sécurité Pawel Wylecial a révélé une vulnérabilité Safari après avoir été informé par Apple qu’un correctif n’arriverait qu’au printemps 2021.
Wylecial, fondateur du groupe de recherche polonais REDTEAM.PL, a découvert le problème et en a informé Apple pour la première fois en avril, expliquant que le bug de sécurité pouvait divulguer des informations sur les utilisateurs et être exploité pour voler des données sur iOS et macOS.
Le bug a été trouvé dans l’API Web Share d’Apple, une nouvelle norme qui permet de partager des liens, des fichiers et d’autres données à partir d’un navigateur via des applications tierces. Selon Wylecial, l’implémentation d’Apple prend en charge le schéma de fichier : ce qui signifie que les messages partagés peuvent dans certains cas inclure des fichiers directement à partir du système local.
Wylecial définit le problème comme un risque faible car une interaction de l’utilisateur est nécessaire pour faciliter les fuites de données potentielles. Cependant, le même chercheur note que les utilisateurs peuvent ne pas savoir qu’ils partagent des données locales, car les fichiers joints peuvent être rendus « invisibles » au cours du processus. De plus, il semble que le problème le plus pressant soit la gestion par Apple du rapport de bug.
Apple a reconnu qu’elle enquêtait sur le problème environ une semaine après avoir reçu la notification initiale de Wyliecial, mais les demandes ultérieures de mises à jour de statut sont restées sans réponse.
Wylecial a ensuite informé la société que le bogue serait divulgué publiquement le 24 août. Apple a demandé à ne rien divulguer, ajoutant que le problème serait résolu dans une mise à jour de sécurité au printemps 2021. Un calendrier jugé trop excessif, à tel point que Wylecial a décidé de partager tous les détails du bug dès maintenant.
