Início » Aplicativos e Software » Bug no Safari permite roubar arquivos do iPhone ou Mac

Bug no Safari permite roubar arquivos do iPhone ou Mac

Falha no Safari foi descoberta em abril deste ano, mas Apple teria adiado a correção para 2021

Ana Marques Por

Um bug no navegador Safari permite que hackers tenham acesso a arquivos locais dos usuários de iPhone ou de computadores com macOS. A falha foi descoberta em abril deste ano, mas de acordo com o pesquisador de segurança Pawel Wylecial, a Apple teria adiado a correção para 2021.

Safari no iPhone

Wylecial, que é co-fundador da empresa de segurança polonesa REDTEAM.PL, afirma que o bug é relacionado à API Web Share, que permite compartilhar textos, links e outros arquivos entre navegadores. Com a falha, o Safari também pode compartilhar documentos armazenados no disco local dos dispositivos dos usuários, como os arquivos do sistema, que podem conter informações sensíveis.

A brecha de segurança abre espaço para que sites maliciosos possam, por exemplo, oferecer um link para compartilhamento de um artigo por e-mail – e roubar ou vazar arquivos sigilosos durante o processo.

De acordo com o pesquisador, o bug não é classificado como uma falha “muito séria”, já que depende da interação do usuário e de uma engenharia que induza o vazamento de dados. Ainda assim, caso haja a intenção, é extremamente fácil tornar os arquivos invisíveis, de modo que o usuário acabe compartilhando as informações sem nem perceber, como mostra o vídeo abaixo:

Pesquisadores criticam a demora da Apple para correção de bugs

A postura da Apple em relação à liberação de atualizações para correção de falhas vem sendo criticada por diversos caçadores de bugs. Assim como aconteceu com o erro reportado por Wylecial, a empresa vem sendo acusada de segurar os patches de segurança por muito tempo – e alguns pesquisadores afirmam que essa demora é, inclusive, proposital.

A Apple conta com seu próprio programa para descoberta de falhas, mas já foi criticada pela equipe de segurança do Project Zero (Google), por trabalhar com regras que têm a intenção de “limitar a divulgação pública e amordaçar pesquisadores de segurança”.

Em abril, um pesquisador relatou um problema semelhante com o programa da gigante de Cupertino, que teria tentado adiar a publicação de suas descobertas. Na época, ele descreveu a experiência como “uma piada”. O padrão da indústria para revelar publicamente falhas de segurança é de 90 dias.

Com informações: ZDNet

Comentários da Comunidade

Participe da discussão
5 usuários participando

Os mais notáveis

Comentários com a maior pontuação

Matheus Motta (@Matheus_Motta)

Aí depois vinha a Apple a publico falar que não permitia usar outro browser como padrão do sistema por questões de segurança, tá aí a “segurança” deles…

Caleb Enyawbruce (@Enyawbruce)

Realmente, pelo texto lá parece a mesma. Tomara mesmo que a correção já venha no iOS 14.

Filipe Espósito (@filipeesposito)

É a mesma sim. Nós testamos em vários aparelhos com o iOS 14 e macOS Big Sur, mas em nenhum deles foi possível reproduzi-la no beta mais recente. Já devem ter corrigido e não avisaram o grupo que a reportou inicialmente. No iOS 13.6.1 e macOS Catalina, ainda funciona.

Caleb Enyawbruce (@Enyawbruce)

Obrigado pela confirmação