Safari gebruiken op iPhone en Mac

Onderzoeker ontdekt lek in Safari, Apple stelt fix uit naar 2021

Kritiek op Apple’s afhandeling van lekken

Een beveiligingsonderzoeker heeft een lek ontdekt in Safari, waarbij lokale gegevens van je iPhone, iPad of Mac in verkeerde handen kan komen. Apple erkent het probleem, maar heeft geen haast om het te fixen.

Beveiligingsonderzoekers ontdekken geregeld grote en minder grote beveiligingslekken in software van bedrijven zoals Apple. Vaak worden dergelijke problemen direct bij de fabrikant gemeld, waarna ze pas openbaar gemaakt worden zodra het lek gedicht is. Maar bij de ontdekking van onderzoeker Pawel Wylecial is dat niet het geval. In een blogpost zet hij uiteen hoe het lek werkt, omdat hij niet tevreden is met de tijd die Apple ervoor neemt om het lek te dichten.

Lek in Safari bij delen van links

Het probleem zit hem in de Web Share API van Apple. Websitemakers kunnen dit gebruiken om op hun website en knop toe te voegen om bijvoorbeeld een pagina te delen via e-mail, een iMessage-bericht of andere apps. Maar deze tool ondersteunt ook het zogenaamde file: scheme, waardoor een gebruiker zonder medeweten lokale bestanden van het apparaat meestuurt.

Deze bestanden kunnen persoonlijke informatie bevatten. In een video laat hij zien hoe dit in zijn werk gaat. De onderzoeker erkent dat het gevaar klein is, omdat er handelingen van de gebruiker nodig zijn om er misbruik van te maken. Toch kunnen websites er misbruik van maken en zo lokale bestanden buitmaken.

Kritiek op Apple’s afhandeling van beveiligingslekken

In april heeft de onderzoeker Apple op de hoogte gebracht van het probleem. Vier maanden later heeft Apple nog steeds geen fix uitgebracht. Apple verzocht de onderzoeker het lek niet te publiceren, omdat de aankomende fix hiervoor uitgesteld is naar 2021. Standaard hanteren bedrijven een termijn van 90 dagen na het melden van een beveiligingslek.

Er is vanuit beveiligingsonderzoekers vaker kritiek op de manier hoe Apple om gaat met dergelijke lekken. Apple zou beveiligingsonderzoekers vooral de mond willen snoeren. Het duurt te lang voordat lekken gedicht worden en zolang er geen oplossing is, mogen ontdekkers van de lekken er niet over publiceren.

Afgelopen juli kondigde Apple het Security Research Device programma aan. Onderzoekers krijgen van Apple hackervriendelijke iPhones, om op deze manier makkelijker beveiligingsproblemen te ontdekken. Volgens Google’s Project Zero-team zijn de regels rondom dit programma veel te strikt en is het vooral bedoeld om ontdekkingen stil te houden.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 25 augustus 2020, 10:19
Bron Bron Blog onderzoeker
Via Via ZDNet
Categorie Apps
Onderwerpen beveiliging, safari

Plaats een reactie

Als je een eigen afbeelding bij je reactie wil, moet je je aanmelden bij Gravatar. Daar kun je jouw e-mailadres koppelen aan een afbeelding.

Suggestie hoe we dit artikel kunnen verbeteren?
Laat het ons weten!

    Off-topic reacties worden verwijderd. Linken naar illegale bronnen is niet toegestaan. Respecteer onze algemene gedragsregels. Gebruik voor eventuele spelfouten of andere opmerkingen met betrekking tot het artikel s.v.p. onze artikelrapportage. Voor opmerkingen over ons moderatiebeleid kun je ons contactformulier gebruiken. Reacties met betrekking hierover worden als off-topic beschouwd.
    Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactiegegevens worden verwerkt.