Unbehobene Safari-Lücke ermöglicht Diebstahl von Dateien

 

• Safari-Sicherheitslücke betrifft User beim Teilen von Inhalten
• Angreifer können die Schwachstelle zum Diebstahl von Dateien ausnutzen
• Details zur Lücke jetzt öffentlich, kein zeitnaher Fix durch Apple geplant

Der Sicherheitsforscher Pawel Wylecial hat eine Safari-Sicherheitslücke offengelegt, über die sich Dateien von den Geräten betroffener Benutzer extrahieren lassen. Doch auch nach Bekanntwerdung der Sicherheitslücke plant Apple keinen zeitnahen Patch.

Wylecial hat den Fehler in der Web Share API gefunden, über die Benutzer Inhalte auch über Drittanwendungen wie E-Mail-Programme und Messaging-Apps teilen können. Dabei überrascht es, wie leicht sich die Schwachstelle ausnutzen lässt. Darüber hinaus besteht die Gefahr, das dies schwerwiegendere Probleme nach sich zieht.

„Das Problem ist, dass das Schema file:// unterstützt wird, und wenn eine Website auf eine solche URL verweist, kommt es zu unerwartetem Verhalten“, so Wylecial. „Wenn ein solcher Link an die navigator.share-Funktion übergeben wird, wird eine Datei aus dem Dateisystem des Benutzers ebenfalls in die geteilte Nachricht aufgenommen, so dass der Benutzer unwissentlich auch eine lokale Datei teilt.“

Das Ausnutzen der Lücke durch einen Bedrohungsakteur erfordert die Interaktion des Benutzers, so dass fortgeschrittene Angreifer versuchen könnten, die geteilte Datei vor dem Benutzer zu verbergen. In einem Video demonstriert der Sicherheitsforscher zudem, wie Angreifer mithilfe der Web Share API auch den Safari-Browserverlauf des Benutzers gelangen könnten.

Zu den betroffenen Plattformen gehören iOS (13.4.1, 13.6), macOS Mojave 10.14.16 mit Safari 13.1 (14609.1.20.111.8) und macOS Catalina 10.15.5 mit Safari 13.1.1 (15609.2.9.1.2).

Wylecial hat die Schwachstelle bereits im April 2020 gemeldet. Apple räumte das Problem erst im August ein, nachdem es monatelag darauf verwiesen hatte, dass das Problem analysiert werde. Der Sicherheitsforscher informierte das Unternehmen schließlich darüber, dass er die Schwachstelle am 24. August öffentlich machen würde. Das Unternehmen bat um mehr Zeit und sagte, es plane, das Problem mit einem Sicherheitsupdate im Frühjahr 2021 zu beheben.

Seit der ursprünglichen Meldung des Problems sind also mehr als vier Monate vergangen und die Veröffentlichung ist mittlerweile erfolgt. Zum aktuellen Zeitpunkt ist kein Fix verfügbar und es gibt auch keine Hinweise darauf, dass Apple plant, die Sicherheitslücke vor dem angekündigtem Termin zu schließen.

 

rn