Il gruppo di ricerca REDTEAM ha spiegato nel suo blog passo passo (trovi il link qui sotto), come sfruttare una falla presente in SAFARI, il browser standard presente su iPhone, iPad e computer di Apple.
La falla permette con un pulsante di condivisione di allegare ed inviare file presenti del tuo computer o dispositivo mobile.
Qui trovi l’esempio passo passo:
https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html
Apple avvisata in già in Aprile!
La cosa che più stupisce è che apple è stata avvisata il 17 aprile 2020 e ad oggi il problema non è stato ancora risolto!
REDTeam prima di pubblicare il suo post ha quindi lasciato il tempo ad Apple di correre ai ripari.
Apple niente, questa è la conistoria:
- 17/04/2020 – Issue discovered and reported to Apple.
- 21/04/2020 – Report acknowledged by Apple, informing they would investigate the issue.
- 22/04/2020 – An updated report containing a small clarification was sent.
- 28/04/2020 – Asked for an status update.
- 29/04/2020 – Received a reply that the report is being analyzed.
- 11/05/2020 – Asked for an status update.
- 13/05/2020 – Apple reply that they are still investigating and have no updates on the issue.
- 11/06/2020 – Asked for a status update, no reply.
- 02/07/2020 – Asked for a status update, no reply.
- 13/07/2020 – Asked for a status update, no reply.
- 21/07/2020 – Asked for a status update and if Apple needs more time to address the issue as I informed that I intend to publish information about this case after 24/07/2020 if there is no reply / no objections from Apple side to make it public.
- 23/07/2020 – Apple responded they are investigating and will follow up as soon as they have an update.
- 02/08/2020 – Asked for a status update and announced disclosure to be on 24/08/2020.
- 14/08/2020 – Apple replied asking not to publish the details as they plan to address the issue in the Spring 2021 security update.
- 17/08/2020 – Replied that waiting with the disclosure for almost an additional year, while 4 months already have passed since reporting the issue is not reasonable.
- 24/08/2020 – This post has been published.
Dimostrazione furto cronologia internet SAFARI
Cosa puoi fare tu?
Visto che al momento Apple non ha risolto il problema, e a quanto pare passerà ancora molta acqua sotto i ponti, quello che tu puoi fare è installare un altro software per navigare in internet, come ad esempio FireFox https://www.mozilla.org
Ma perché Apple non risolve?
Una domanda rimane, perché Apple non risolve il problema?