Investigador revela error de fuga de datos de Safari después Apple retrasa el parche hasta 2021

El investigador Pawel Wylecial reveló el lunes un error de Safari después de ser informado por Apple que un parche entrante tendría que esperar hasta la primavera de 2021.

Wylecial, quien fund√≥ el grupo de investigaci√≥n polaco REDTEAM.PL, primero descubri√≥ e inform√≥ Apple del problema en abril, se√Īalar que la falla puede filtrar informaci√≥n del usuario y aprovecharse para robar datos tanto en iOS como en Mac, seg√ļn una publicaci√≥n de blog del lunes.

El error tiene sus ra√≠ces en AppleWeb Share API, un nuevo est√°ndar que permite compartir enlaces, archivos y otros datos desde un navegador a trav√©s de aplicaciones e informes de terceros. Seg√ļn Wylecial, AppleLa implementaci√≥n de la aplicaci√≥n admite el esquema file:, lo que significa que los mensajes compartidos pueden en algunos casos incluir archivos del sistema local.

  

Wylecial caracteriza el problema como de bajo riesgo porque se requiere la interacci√≥n del usuario para facilitar la posible fuga de datos. Sin embargo, se√Īala que es posible que los usuarios no sepan que est√°n compartiendo datos locales, ya que los archivos adjuntos pueden volverse en gran parte “invisibles” durante el proceso.

Como ha se√Īalado, un problema m√°s urgente es AppleManejo del informe de error.

Apple reconoció que estaba analizando el problema aproximadamente una semana después de recibir la alerta inicial de Wyliecial, pero varias solicitudes de seguimiento para actualizaciones de estado quedaron sin respuesta.

Wylecial inform√≥ a principios de agosto a la compa√Ī√≠a que el error se divulgar√≠a p√ļblicamente el 24 de agosto. Apple pidi√≥ retener un anuncio, diciendo que el problema se abordar√≠a en una actualizaci√≥n de seguridad de primavera de 2021. Al encontrar la l√≠nea de tiempo propuesta irrazonable, Wylecial opt√≥ por detallar el error en su blog.