Actualités

Safari : quand une API de partage permet d’aspirer certaines données-utilisateurs sensibles !

Toujours en vadrouille, les vulnérabilités sécuritaires visent, aussi, des logiciels autres que sous Android : les systèmes Apple sont concernés ; plus spécifiquement son navigateur Web Safari dont une API de partage aurait permis, depuis officiellement Avril dernier, d’extirper des données-utilisateurs…

 

 

Mise en lumière par Pawel Wylecial (RedTeam.pl), le chercheur pointe du doigt web-share, une API qui permet d’interagir socialement depuis n’importe quelle application tierce en partageant une URL ou un fichier : “Dans le cas où un tel lien est passé à la fonction navigator.share, un fichier réel du système de fichiers utilisateur est inclus dans le message partagé, ce qui conduit à la divulgation du fichier local lorsqu’un utilisateur le partage sans le savoir. Le problème n’est pas très grave car une interaction de l’utilisateur est nécessaire, mais il est assez facile de rendre le fichier partagé invisible pour l’utilisateur”, alerte t-il, dans un billet détaillé datant du 25 Août dernier.

 

Certes, il faut une interaction-utilisateur mais (l’actualité le montre rien qu’avec le phishing, par exemple) si l’objet du contournement est assez convaincant pour mettre en confiance ledit utilisateur, la pratique s’avère redoutable. Un PoC est ainsi démontré avec l’usage abusif d’une image d’un chaton irrésistible qui suscite une émotion positive (pensons-le) au niveau humain ce qui, au niveau informatique peut provoquer une erreur humaine en cliquant sans méfiance aucune. Détail ou non, il s’agit d’une étape essentielle qui permettra à ce genre de faille (qui a besoin de la victime pour être fonctionnelle) d’être effective jusqu’au bout.

 

Une fois l’action de partage effectuée (via cette image recelant une URL malveillante), dans la foulée, l’utilisateur, à son insu donc, partage également certaines données : ici, l’exemple montre un accès local vers des données de type mots de passe. Un comportement similaire s’opère, entre-autres, sous l’application Mail : via un partage de lien, le message envoyé jointerait automatiquement un fichier sensible (comme les mots de passe). Ce fichier est visible mais pas à prime abord : un peu comme un message en longueur avec beaucoup d’espace ou de saut de lignes, il serait situé tout en bas de message pour duper la victime. Messages serait aussi compromis tout comme, sous Android cette fois, Gmail qui masque la PJ, ce qui peut porter à confusion dans l’esprit de la victime. Concernant Safari, cela peut aller, également, jusqu’à l’ex-filtration de données au niveau de l’historique.

Sont concernés : Safari (v13.1.1) sous macOS Catalina (v10.15.5), Safari v13.1) sous macOS Mojave (v10.14.16) et iOS (v13.4.1, v13.6). Depuis le 17 Avril 2020, Apple a été informé officiellement de la vulnérabilité qui estime que le correctif peut attendre… jusqu’au printemps 2021 via une rustine dédiée… A veiller !

 

Source : RedTeam – 24 Août 2020 – Safari : Web-Share (API) peut être frauduleusement modifié pour ex-filtrer des données personnelles.




  • 50% J'apprécieVS
    50% Je n'apprécie pas
    Pas de commentaire

    Laisser un commentaire

    ;) :zzz: :youpi: :yes: :xmas: :wink: :whistle: :warning: :twisted: :sw: :sleep: :sg1: :schwarzy: :sarko: :sante: :rollol: :roll: :rip: :pt1cable: :popcorn: :pff: :patapai: :paf: :p :ouch: :oops: :o :non: :na: :mrgreen: :mdr: :macron: :love: :lol: :kissou: :kaola: :jesuisdehors: :jap: :ilovesos: :idea: :houra: :hello: :heink: :grumpy: :fume: :frenchy: :fouet: :fouet2: :first: :fessee: :evil: :dispute: :demon: :cryy: :cry: :cpignon: :cool: :cassepc: :capello: :calin: :bug: :boxe: :bounce: :bluesbro: :bisou: :babyyoda: :assassin: :arrow: :annif: :ange: :amen: :D :??: :?: :/ :-| :-x :-o :-P :-D :-? :-1: :+1: :) :( 8-O 8)

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

    Copyright © Association SOSOrdi.net 1998-2020