Passer au contenu

Apple : une faille zero-day dans Safari permet de voler facilement des fichiers locaux

Le navigateur autorise le partage de liens de type « file: », ce qui ouvre la porte à de nombreux scénarios de phishing. Bizarrement, Apple traîne des pieds pour corriger le problème. Le patch ne serait disponible qu’en 2021.

Partager du texte, des liens ou des fichiers n’est pas seulement l’apanage des applications. Les sites web aussi peuvent désormais proposer ce type de fonctionnalité, grâce au nouveau standard Web Share API. C’est évidemment très pratique, à condition de ne pas implémenter cette technologie n’importe comment, à l’instar de ce qu’à fait Apple avec Safari.

Il y a quelques mois, le chercheur en sécurité Pawel Wylecial a découvert, en effet, que ce navigateur autorisait le partage de liens de type « file: », tant sur iOS que sur macOS. C’est une très mauvaise idée, car cela permet à un pirate d’inciter une personne à partager un fichier local sans qu’il s’en rende compte. L’expert a réalisé une démonstration vidéo en utilisant l’application Mail d’iOS. Comme on peut voir, l’historique de navigation mis en fichier joint n’est quasiment pas visible, grâce à l’ajout astucieux d’un certain nombre de retours à la ligne.

Malheureusement, il n’y a pas de patch à l’heure actuelle. Le chercheur a alerté Apple en avril dernier. La firme n’a fait un retour que le 14 août dernier, pour dire que le problème allait être corrigé… au printemps 2021. Un délai que le chercheur trouve totalement aberrant, c’est pourquoi il vient de publier les détails techniques de cette faille. Pas sûr qu’Apple le récompense… 

Source : Note de blog de Pawel Wylecial

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN