Beveiligingsonderzoekers ontdekken geregeld grote en minder grote beveiligingslekken in software van bedrijven zoals Apple. Vaak worden dergelijke problemen direct bij de fabrikant gemeld, waarna ze pas openbaar gemaakt worden zodra het lek gedicht is. Maar bij de ontdekking van onderzoeker Pawel Wylecial is dat niet het geval. In een blogpost zet hij uiteen hoe het lek werkt, omdat hij niet tevreden is met de tijd die Apple ervoor neemt om het lek te dichten.
Lek in Safari bij delen van links
Het probleem zit hem in de Web Share API van Apple. Websitemakers kunnen dit gebruiken om op hun website en knop toe te voegen om bijvoorbeeld een pagina te delen via e-mail, een iMessage-bericht of andere apps. Maar deze tool ondersteunt ook het zogenaamde file: scheme, waardoor een gebruiker zonder medeweten lokale bestanden van het apparaat meestuurt.
Deze bestanden kunnen persoonlijke informatie bevatten. In een video laat hij zien hoe dit in zijn werk gaat. De onderzoeker erkent dat het gevaar klein is, omdat er handelingen van de gebruiker nodig zijn om er misbruik van te maken. Toch kunnen websites er misbruik van maken en zo lokale bestanden buitmaken.
Kritiek op Apple’s afhandeling van beveiligingslekken
In april heeft de onderzoeker Apple op de hoogte gebracht van het probleem. Vier maanden later heeft Apple nog steeds geen fix uitgebracht. Apple verzocht de onderzoeker het lek niet te publiceren, omdat de aankomende fix hiervoor uitgesteld is naar 2021. Standaard hanteren bedrijven een termijn van 90 dagen na het melden van een beveiligingslek.
Er is vanuit beveiligingsonderzoekers vaker kritiek op de manier hoe Apple om gaat met dergelijke lekken. Apple zou beveiligingsonderzoekers vooral de mond willen snoeren. Het duurt te lang voordat lekken gedicht worden en zolang er geen oplossing is, mogen ontdekkers van de lekken er niet over publiceren.
Afgelopen juli kondigde Apple het Security Research Device programma aan. Onderzoekers krijgen van Apple hackervriendelijke iPhones, om op deze manier makkelijker beveiligingsproblemen te ontdekken. Volgens Google’s Project Zero-team zijn de regels rondom dit programma veel te strikt en is het vooral bedoeld om ontdekkingen stil te houden.
Apple geeft 'hackervriendelijke' iPhones aan security-onderzoekers
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Veiliger inloggen bij WhatsApp zónder wachtwoord: dat kan nu met passkeys (24-04)
- 'iPad krijgt eindelijk een Rekenmachine-app' (23-04)
- Sonos kondigt geheel vernieuwde app aan: zo ziet hij eruit (23-04)
- Flitsmeister DASH: nieuw flitsapparaatje heeft een eigen mobiele internetverbinding (23-04)
- Adobe Express-app krijgt grote update: nu met veel meer AI (19-04)
Safari
Safari is de Apple's eigen webbrowser die standaard beschikbaar is op iPhone, iPad en Mac. Safari draait op WebKit, de motor achter de browser en ondersteunt alle huidige internetstandaarden. Safari heeft allerlei handige functies, zoals het instellen van favoriete websites, bladwijzers, het Safari-privacyrapport, het aanmaken van Safari-profielen en nog veel meer. De browser krijgt regelmatig nieuwe functies, samen met grote iOS-, iPadOS- en macOS-updates. Lees hier alles over Safari en nuttige tips.
- Alles over Safari
- Handige tips voor Safari op iPhone en iPad
- De beste Safari-extensies
- Adresbalk in Safari boven of onder
- Favoriete websites openen met Safari op iPhone en iPad
- Websites vertalen via Safari
- Zo werkt de Safari-leeslijst
- Safari-tabbladen sluiten doe je zo
- Safari-wallpaper op de Mac instellen
- Zo werkt de Safari-startpagina
- Safari-privacyrapport
- Privémodus in Safari
- Safari-profielen gebruiken
Reacties: 0 reacties